- This topic has 12 ответов, 2 участника, and was last updated 16 years, 4 months назад by
.
-
Сообщения
-
Здравствуйте, Валерий, долго читал Ваш форум, но, к сожалению, решения моей проблемы не нашел, видимо, нет универсальных. 🙄
Проблема следующая: Касперский (стоит в автозагрузке) при загрузке выдает сообщения вида: «Процесс …..services.exe пытается удалить состав библиотек при загрузке или svchost.exe пытается изменить плагин к IE. Дает 3 вида решений: Разрешить, Запретить, Добавить к доверенным. Пытался удалить различными антивирусами — не помогло. Запускал антиспайварные утилиты типа malware, результат — отрицательный. То есть они все что-то прибивали, но вот эту проблему не смогли решить. От отчаяния без Вашей рекомендации запустил Combofix, он пришиб какой-то ехе-шник и авторановский файл, но проблема осталась, поэтому прошу Вас помочь. 🙂 В соответствии с правилами выкладываю логи RSIT-a и, на всякий случай, Комбофикса.RSIT
log.txt
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Андрей at 2009-04-25 14:08:44
Microsoft® Windows Vista™ Home Premium
System drive C: has 3 GB (5%) free of 59 GB
Total RAM: 2047 MB (50% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:04, on 25.04.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: NormalRunning processes:
C:Windowssystem32Dwm.exe
C:Windowssystem32taskeng.exe
C:WindowsExplorer.EXE
C:Program FilesASUSNet4SwitchNet4Switch.exe
C:Program FilesMotorolaSMSERIALsm56hlpr.exe
C:Program FilesASUSATK MediaDMedia.exe
C:WindowsASScrPro.exe
C:WindowsRtHDVCpl.exe
C:Windowsehomeehtray.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtMng.exe
C:UsersАндрейAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupEnh.exe
C:Program FilesTotal CommanderTotalcmd.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.EXE
C:Windowsehomeehmsas.exe
C:Program FilesToshibaBluetooth Toshiba StackTosA2dp.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtHid.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtHsp.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe
C:Program FilesASUSASUS Live UpdateALU.exe
C:Program FilesuTorrentuTorrent.exe
C:Program FilesInternet Exploreriexplore.exe
D:RSIT.exe
C:Program Filestrend microАндрей.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O4 — HKLM..Run: [SMSERIAL] C:Program FilesMotorolaSMSERIALsm56hlpr.exe
O4 — HKLM..Run: [ATKMEDIA] C:Program FilesASUSATK MediaDMEDIA.EXE
O4 — HKLM..Run: [ASUS Camera ScreenSaver] C:WindowsASScrProlog.exe
O4 — HKLM..Run: [ASUS Screen Saver Protector] C:WindowsASScrPro.exe
O4 — HKLM..Run: [wcmdmgr] C:Windowswtupdaterwcmdmgrl.exe -launch
O4 — HKLM..Run: [QuickTime Task] «C:Program FilesQuickTimeqttask.exe» -atboottime
O4 — HKLM..Run: [D_V_T] C:\dvt.exe /S C:\d_v_t.reg
O4 — HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesNeroLibNeroCheck.exe
O4 — HKLM..Run: [RtHDVCpl] RtHDVCpl.exe
O4 — HKLM..Run: [ISUSScheduler] «C:Program FilesCommon FilesInstallShieldUpdateServiceissch.exe» -start
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe»
O4 — HKCU..Run: [ehTray.exe] C:WindowsehomeehTray.exe
O4 — HKCU..Run: [ISUSPM Startup] «C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe» -startup
O4 — HKCU..Run: [StartCCC] C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe
O4 — Startup: CCC.lnk = ?
O4 — Startup: Enh.exe
O4 — Startup: Total Commander.lnk = C:Program FilesTotal CommanderTotalcmd.exe
O4 — Global Startup: Bluetooth Manager.lnk = ?
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Добавить в Анти-Баннер — C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsie_banner_deny.htm
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows WorkstationsSCIEPlgn.dll
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: PartyPoker.com — {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} — C:ProgramsPartyGamingPartyPokerRunApp.exe
O9 — Extra ‘Tools’ menuitem: PartyPoker.com — {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} — C:ProgramsPartyGamingPartyPokerRunApp.exe
O13 — Gopher Prefix:
O16 — DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) —
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0FOadialhk.dll C:PROGRA~1KASPER~1KASPER~1.0FOr3hook.dll
O23 — Service: ASLDR Service (ASLDRService) — Unknown owner — C:Program FilesATK HotkeyASLDRSrv.exe
O23 — Service: Ati External Event Utility — ATI Technologies Inc. — C:Windowssystem32Ati2evxx.exe
O23 — Service: Kaspersky Anti-Virus 6.0 (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe
O23 — Service: Symantec Lic NetConnect service (CLTNetCnService) — Unknown owner — C:Program FilesCommon FilesSymantec SharedccSvcHst.exe (file missing)
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: LightScribeService Direct Disc Labeling Service (LightScribeService) — Hewlett-Packard Company — C:Program FilesCommon FilesLightScribeLSSrvc.exe
O23 — Service: LiveUpdate — Unknown owner — C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE (file missing)
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesNeroLibNMIndexingService.exe
O23 — Service: spmgr — Unknown owner — C:Program FilesASUSNB ProbeSPMspmgr.exe
O23 — Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) — Syntek America Inc. — C:WindowsSystem32StkCSrv.exe
O23 — Service: TOSHIBA Bluetooth Service — TOSHIBA CORPORATION — C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
O23 — Service: @%systemroot%system32SearchIndexer.exe,-103 (WSearch) — Корпорация Майкрософт — C:Windowssystem32SearchIndexer.exe—
End of file — 6559 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2004-12-14 63136][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{22BF413B-C6D2-4d91-82A9-A0F997BA588C}]
Skype add-on (mastermind) — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll [2008-09-23 1088296][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper — C:Program FilesJavajre6binssv.dll [2009-03-09 320920][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-03-09 35840][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SMSERIAL»=C:Program FilesMotorolaSMSERIALsm56hlpr.exe [2006-11-22 630784]
«ATKMEDIA»=C:Program FilesASUSATK MediaDMEDIA.EXE [2006-11-02 61440]
«ASUS Camera ScreenSaver»=C:WindowsASScrProlog.exe [2007-09-06 37232]
«ASUS Screen Saver Protector»=C:WindowsASScrPro.exe [2007-09-06 33136]
«wcmdmgr»=C:Windowswtupdaterwcmdmgrl.exe [2001-01-25 20480]
«QuickTime Task»=C:Program FilesQuickTimeqttask.exe [2007-09-09 155648]
«D_V_T»=C:\dvt.exe [2007-09-21 3584]
«NeroFilterCheck»=C:Program FilesCommon FilesNeroLibNeroCheck.exe [2007-03-01 153136]
«RtHDVCpl»=C:WindowsRtHDVCpl.exe [2008-07-03 6266880]
«ISUSScheduler»=C:Program FilesCommon FilesInstallShieldUpdateServiceissch.exe [2005-08-11 81920]
«AVP»=C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe [2008-10-31 231952][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«ehTray.exe»=C:WindowsehomeehTray.exe [2006-11-02 125440]
«ISUSPM Startup»=C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe [2005-08-11 249856]
«StartCCC»=C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe [2006-11-10 90112]C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — C:Program FilesToshibaBluetooth Toshiba StackTosBtMng.exeC:UsersАндрейAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
CCC.lnk — C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe
Enh.exe
Total Commander.lnk — C:Program FilesTotal CommanderTotalcmd.exe[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»C:PROGRA~1KASPER~1KASPER~1.0FOadialhk.dll C:PROGRA~1KASPER~1KASPER~1.0FOr3hook.dll»[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon]
C:Windowssystem32klogon.dll [2007-11-19 219664][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«EnableLUA»=0
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDrives»=0[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDrives»=[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
======List of files/folders created in the last 1 months======
2009-04-25 14:08:45 —-D—- C:Program Filestrend micro
2009-04-25 14:08:44 —-D—- C:rsit
2009-04-25 11:48:39 —-A—- C:ComboFix.txt
2009-04-25 11:32:54 —-D—- C:WindowsERDNT
2009-04-25 11:29:43 —-D—- C:WindowsInternet Logs
2009-04-25 11:28:24 —-D—- C:Program FilesWindows Live Safety Center
2009-04-24 11:45:56 —-D—- C:Program FilesEnigma Software Group
2009-04-24 11:45:33 —-D—- C:UsersАндрейAppDataRoamingWebroot
2009-04-24 09:17:10 —-D—- C:Program FilesCrawler
2009-04-24 09:16:57 —-D—- C:UsersАндрейAppDataRoamingApplication Data
2009-04-24 09:11:41 —-D—- C:Program FilesSpyware Doctor
2009-04-24 09:11:26 —-A—- C:Windowssystem32msvcr80.dll
2009-04-23 23:46:47 —-D—- C:UsersАндрейAppDataRoamingMalwarebytes
2009-04-23 23:46:41 —-D—- C:ProgramDataMalwarebytes
2009-04-23 15:24:28 —-D—- C:Downloads
2009-04-23 09:25:45 —-D—- C:с Д
2009-04-07 10:56:00 —-A—- C:Windowssystem32javaws.exe
2009-04-07 10:56:00 —-A—- C:Windowssystem32javaw.exe
2009-04-07 10:56:00 —-A—- C:Windowssystem32java.exe
2009-04-01 23:43:39 —-D—- C:Program FilesAviInfo
2009-03-27 10:19:34 —-D—- C:UsersАндрейAppDataRoamingDivX
2009-03-27 09:56:06 —-D—- C:Program FilesDivX
2009-03-27 09:55:29 —-A—- C:Windowssystem32unrar.dll
2009-03-27 09:55:27 —-A—- C:Windowssystem32yv12vfw.dll
2009-03-27 09:55:26 —-A—- C:Windowssystem32xvidvfw.dll
2009-03-27 09:55:26 —-A—- C:Windowssystem32xvidcore.dll
2009-03-27 09:55:26 —-A—- C:Windowssystem32dpl100.dll
2009-03-27 09:55:25 —-A—- C:Windowssystem32ff_vfw.dll.manifest
2009-03-27 09:55:25 —-A—- C:Windowssystem32ff_vfw.dll
2009-03-26 13:18:28 —-D—- C:Program FilesVITSOFT======List of files/folders modified in the last 1 months======
2009-04-25 14:09:42 —-D—- C:UsersАндрейAppDataRoaminguTorrent
2009-04-25 14:08:51 —-D—- C:WindowsTemp
2009-04-25 14:08:45 —-D—- C:Program Files
2009-04-25 12:06:13 —-D—- C:WindowsSystem32
2009-04-25 12:06:13 —-D—- C:Windowsinf
2009-04-25 12:06:13 —-A—- C:Windowssystem32PerfStringBackup.INI
2009-04-25 11:59:51 —-D—- C:ProgramDataKaspersky Lab
2009-04-25 11:58:15 —-D—- C:Windowssystem32drivers
2009-04-25 11:56:48 —-D—- C:Windows
2009-04-25 11:44:54 —-A—- C:Windowssystem.ini
2009-04-25 11:40:08 —-D—- C:Windowssystem32config
2009-04-25 11:38:35 —-D—- C:WindowsAppPatch
2009-04-25 11:38:34 —-D—- C:Program FilesCommon Files
2009-04-25 11:35:34 —-SHD—- C:System Volume Information
2009-04-25 11:30:53 —-D—- C:WindowsPrefetch
2009-04-25 11:29:57 —-SHD—- C:WindowsInstaller
2009-04-25 11:29:57 —-D—- C:Windowswinsxs
2009-04-25 11:28:25 —-SD—- C:WindowsDownloaded Program Files
2009-04-25 01:58:39 —-A—- C:Windowswinamp.ini
2009-04-24 17:26:55 —-D—- C:Program FilesCity Guide 2.2
2009-04-24 12:40:06 —-D—- C:UsersАндрейAppDataRoamingThe Bat!
2009-04-24 11:54:58 —-D—- C:Program FilesGRETECH
2009-04-24 11:46:23 —-HD—- C:ProgramData
2009-04-24 07:13:01 —-D—- C:RECYCLER
2009-04-16 11:50:52 —-D—- C:WindowsMinidump
2009-04-13 14:09:10 —-D—- C:Windowssystem32catroot2
2009-04-07 10:55:53 —-D—- C:Program FilesJava
2009-03-28 19:36:54 —-A—- C:WindowsNeroDigital.ini
2009-03-27 16:01:35 —-D—- C:UsersАндрейAppDataRoamingSkype
2009-03-27 16:01:28 —-D—- C:UsersАндрейAppDataRoamingskypePM
2009-03-27 09:55:40 —-D—- C:Program FilesK-Lite Codec Pack======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 kl1;kl1; C:Windowssystem32DRIVERSkl1.sys [2008-10-31 112144]
R1 KLIF;Kaspersky Lab Driver; C:Windowssystem32DRIVERSklif.sys [2009-04-01 148496]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter; C:Windowssystem32DRIVERSklim6.sys [2007-04-04 20760]
R1 Tosrfcom;Bluetooth RFCOMM; C:WindowsSystem32Driverstosrfcom.sys [2005-08-01 64896]
R2 ghaio;ghaio; ??C:Program FilesASUSNB ProbeSPMghaio.sys [2006-12-28 18688]
R2 hardlock;hardlock; ??C:Windowssystem32drivershardlock.sys [2006-11-22 693760]
R2 haspflt;haspflt; ??C:Windowssystem32drivershaspflt.sys [2004-12-10 29024]
R2 Haspnt;Haspnt; ??C:Windowssystem32driversHaspnt.sys [2007-10-04 47616]
R2 rimmptsk;rimmptsk; C:Windowssystem32DRIVERSrimmptsk.sys [2007-01-23 39936]
R2 rimsptsk;rimsptsk; C:Windowssystem32DRIVERSrimsptsk.sys [2007-01-23 42496]
R2 RMCAST;Драйвер протокола RMCAST (Pgm); C:Windowssystem32DRIVERSRMCAST.sys [2006-11-02 113664]
R3 CmBatt;Драйвер батареи с ACPI-управлением (Microsoft); C:Windowssystem32DRIVERSCmBatt.sys [2006-11-02 14208]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:Windowssystem32driversRTKVHDA.sys [2008-07-03 2152088]
R3 MODEMCSA;Устройство фильтрации потока Unimodem; C:Windowssystem32driversMODEMCSA.sys [2006-11-02 18432]
R3 MTsensor;ATK0100 ACPI UTILITY; C:Windowssystem32DRIVERSATKACPI.sys [2006-12-14 7680]
R3 R300;R300; C:Windowssystem32DRIVERSatikmdag.sys [2006-12-20 2305536]
R3 ROOTMODEM;Microsoft Legacy Modem Driver; C:WindowsSystem32DriversRootMdm.sys [2006-11-02 8192]
R3 RTL8169;Realtek 8169 NT Driver; C:Windowssystem32DRIVERSRtlh86.sys [2007-01-15 70144]
R3 sdbus;sdbus; C:Windowssystem32DRIVERSsdbus.sys [2006-11-02 82432]
R3 smserial;smserial; C:Windowssystem32DRIVERSsmserial.sys [2006-11-22 982272]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam; C:WindowsSystem32DriversStkCMini.sys [2007-02-13 1245056]
R3 SynTP;Synaptics TouchPad Driver; C:Windowssystem32DRIVERSSynTP.sys [2006-11-22 181304]
R3 tosporte;Bluetooth COM Port; C:Windowssystem32DRIVERStosporte.sys [2006-10-10 41600]
R3 WCPU;WCPU; ??C:Program FilesP4GWCPU.sys [2007-01-02 11120]
S3 akshasp;Aladdin HASP Key; C:Windowssystem32DRIVERSakshasp.sys [2006-11-22 327168]
S3 aksusb;Aladdin USB Key; C:Windowssystem32DRIVERSaksusb.sys [2006-11-22 100096]
S3 Bridge;@%SystemRoot%system32bridgeres.dll,-3; C:Windowssystem32DRIVERSbridge.sys [2006-11-02 93184]
S3 BridgeMP;@%SystemRoot%system32bridgeres.dll,-1; C:Windowssystem32DRIVERSbridge.sys [2006-11-02 93184]
S3 BthEnum;Драйвер блока запроса Bluetooth; C:Windowssystem32DRIVERSBthEnum.sys [2006-11-02 19456]
S3 BthPan;Устройства Bluetooth (личной сети); C:Windowssystem32DRIVERSbthpan.sys [2006-11-02 92160]
S3 BTHPORT;Драйвер порта Bluetooth; C:WindowsSystem32DriversBTHport.sys [2006-11-02 220160]
S3 BTHUSB;Драйвер порта USB радиомодуля Bluetooth; C:WindowsSystem32DriversBTHUSB.sys [2006-11-02 29184]
S3 drmkaud;Звуковой дешифратор DRM ядра системы; C:Windowssystem32driversdrmkaud.sys [2006-11-02 5632]
S3 FileObjInfo;FileObjInfo; C:Windowssystem32driversFileObjInfo.sys []
S3 GETPADD;GETPADD; C:Windowssystem32driversGETPADD.sys [2003-07-30 3839]
S3 HdAudAddService;Драйвер функции UAA для службы High Definition Audio (Microsoft), версия 1.1; C:Windowssystem32driversHdAudio.sys [2006-11-02 235520]
S3 ialm;ialm; C:Windowssystem32DRIVERSigdkmd32.sys [2006-10-19 1380864]
S3 ipswuio;ipswuio; C:WindowsSystem32DRIVERSipswuio.sys []
S3 lvupdtio;lvupdtio; C:Windowssystem32driverslvupdtio.sys []
S3 MSKSSRV;Представитель служб потоков Microsoft; C:Windowssystem32driversMSKSSRV.sys [2006-11-02 8192]
S3 MSPCLOCK;Посредник синхронизации потоков Microsoft; C:Windowssystem32driversMSPCLOCK.sys [2006-11-02 5888]
S3 MSPQM;Представитель диспетчера качества потоков Microsoft; C:Windowssystem32driversMSPQM.sys [2006-11-02 5504]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:Windowssystem32driversMSTEE.sys [2006-11-02 6016]
S3 NETw3v32;Драйвер адаптера Intel(R) PRO/Wireless 3945ABG для 32-разрядной версии Windows Vista; C:Windowssystem32DRIVERSNETw3v32.sys [2006-12-19 1786880]
S3 RFCOMM;Устройство Bluetooth (протокол RFCOMM TDI); C:Windowssystem32DRIVERSrfcomm.sys [2006-11-02 49664]
S3 tosrfbd;Bluetooth RFBUS; C:Windowssystem32DRIVERStosrfbd.sys [2006-11-30 113792]
S3 tosrfbnp;Bluetooth RFBNEP; C:WindowsSystem32Driverstosrfbnp.sys [2006-11-20 36480]
S3 Tosrfhid;Bluetooth RFHID; C:Windowssystem32DRIVERSTosrfhid.sys [2006-10-05 73600]
S3 tosrfnds;Bluetooth Personal Area Network; C:Windowssystem32DRIVERStosrfnds.sys [2005-01-06 18612]
S3 TosRfSnd;Bluetooth Audio; C:Windowssystem32driverstosrfsnd.sys [2006-11-02 53504]
S3 Tosrfusb;Bluetooth USB Controller; C:Windowssystem32DRIVERStosrfusb.sys [2006-10-28 40960]
S3 TPM;TPM; C:Windowssystem32driverstpm.sys [2006-11-02 41064]
S3 WUDFRd;WUDFRd; C:Windowssystem32DRIVERSWUDFRd.sys [2006-11-02 82560]
S3 zteusbser;ZTE USB Device for Legacy Serial Communication; C:Windowssystem32DRIVERSzteusbser.sys [2008-03-10 99328]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:Windowssystem32driverswmiacpi.sys [2006-11-02 11264]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 ASLDRService;ASLDR Service; C:Program FilesATK HotkeyASLDRSrv.exe [2007-02-05 94208]
R2 Ati External Event Utility;Ati External Event Utility; C:Windowssystem32Ati2evxx.exe [2006-12-20 557056]
R2 AVP;Kaspersky Anti-Virus 6.0; C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe [2008-10-31 231952]
R2 BthServ;@%SystemRoot%System32bthserv.dll,-101; C:Windowssystem32svchost.exe [2006-11-02 22016]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:Program FilesCommon FilesLightScribeLSSrvc.exe [2007-01-17 61440]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-20 322120]
R2 spmgr;spmgr; C:Program FilesASUSNB ProbeSPMspmgr.exe [2006-12-28 123248]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service; C:WindowsSystem32StkCSrv.exe [2007-02-07 24576]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe [2006-10-31 77824]
S2 CLTNetCnService;Symantec Lic NetConnect service; C:Program FilesCommon FilesSymantec SharedccSvcHst.exe /h ccCommon []
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe [2005-04-04 69632]
S3 LiveUpdate;LiveUpdate; C:PROGRA~1SymantecLIVEUP~1LUCOMS~1.EXE []
S3 NMIndexingService;NMIndexingService; C:Program FilesCommon FilesNeroLibNMIndexingService.exe [2007-09-20 382248]
S3 odserv;Microsoft Office Diagnostics Service; C:Program FilesCommon FilesMicrosoft SharedOFFICE12ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
EOF
info.txt
info.txt logfile of random’s system information tool 1.06 2009-04-25 14:10:09
======Uninstall list======
—>C:Program FilesDivXDivXConverterUninstall.exe /CONVERTER
—>C:Program FilesNeroNero8\nerouninstallUNNERO.exe /UNINSTALL
1C:Предприятие 8.1—>MsiExec.exe /I{45FCC729-7789-479D-89A6-CE1AC809ADCA}
Adobe Flash Player 10 ActiveX—>C:Windowssystem32MacromedFlashuninstall_activeX.exe
Adobe Reader 7.0—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
AoA Audio Extractor 1.0—>»C:Program FilesAoA Audio Extractorunins000.exe»
ASUS InstantFun—>MsiExec.exe /I{57B15AD4-8C9D-4164-82BB-E33D8644E757}
ASUS Live Update—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}setup.exe» -l0x9
ASUS Splendid Video Enhancement Technology—>C:Program FilesInstallShield Installation Information{C0FC1C14-4824-4A73-87A6-9E888C9C3102}SETUP.exe -runfromtemp -l0x0019 -removeonly
Asus_Camera_ScreenSaver—>»C:WindowsASUS Camera ScreenSaver Uninstaller.exe»
ATK Hotkey—>C:Program FilesInstallShield Installation Information{3912D529-02BC-4CA8-B5ED-0D0C20EB6003}SETUP.exe -runfromtemp -l0x0019 -removeonly
ATK Media—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{139B0FFA-187E-4BA1-BCA6-6B56B2B6AB8C}SETUP.EXE» -l0x9
ATKOSD2—>C:Program FilesInstallShield Installation Information{5C1DB4ED-E9B4-402D-BB14-D75D97D6C1A6}SETUP.exe -runfromtemp -l0x0009 -removeonly
AviInfo 3.1.0—>C:Program FilesAviInfouninst.exe
A-Z Video Converter Ultimate 7.59—>»C:Program FilesA-ZA-Z Video Converter Ultimateunins000.exe»
Bluetooth Stack for Windows by Toshiba—>MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
City Guide 2.2—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime�9�1Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{AA644D57-1863-4080-A57E-A3C403F2969C}setup.exe» -l0x9
CoreAVC Professional Edition (remove only)—>»C:Program FilesCoreCodecCoreAVC Professional EditionCoreAVC Professional Edition-uninstall.exe»
DivX Codec—>C:Program FilesDivXDivXCodecUninstall.exe /CODEC
DivX Converter—>C:Program FilesDivXDivXConverterUninstall.exe /CONVERTER
DivX Plus DirectShow Filters—>C:Program FilesDivXDivXDSFiltersUninstall.exe /DSFILTERS
FlylinkDC++ r(320)—>»C:Program FilesFlylinkDC++unins000.exe»
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Java(TM) 6 Update 13—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
K-Lite Codec Pack 4.7.0 (Full)—>»C:Program FilesK-Lite Codec Packunins000.exe»
LifeFrame2—>MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}
Microsoft Office Excel 2007—>MsiExec.exe /X{90120000-0016-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (Russian) 2007—>MsiExec.exe /X{90120000-0016-0419-0000-0000000FF1CE}
Microsoft Office PowerPoint 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall POWERPOINT /dll OSETUP.DLL
Microsoft Office PowerPoint 2007—>MsiExec.exe /X{90120000-0018-0000-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Russian) 2007—>MsiExec.exe /X{90120000-0018-0419-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007—>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007—>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Russian) 2007—>MsiExec.exe /X{90120000-001F-0419-0000-0000000FF1CE}
Microsoft Office Proof (Ukrainian) 2007—>MsiExec.exe /X{90120000-001F-0422-0000-0000000FF1CE}
Microsoft Office Proofing (Russian) 2007—>MsiExec.exe /X{90120000-002C-0419-0000-0000000FF1CE}
Microsoft Office Shared MUI (Russian) 2007—>MsiExec.exe /X{90120000-006E-0419-0000-0000000FF1CE}
Microsoft Office Visio MUI (Russian) 2007—>MsiExec.exe /X{90120000-0054-0419-0000-0000000FF1CE}
Microsoft Office Visio Professional 2007—>MsiExec.exe /X{90120000-0051-0000-0000-0000000FF1CE}
Microsoft Office Visio Профессиональный 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall VISPRO /dll OSETUP.DLL
Microsoft Office Word 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall WORD /dll OSETUP.DLL
Microsoft Office Word 2007—>MsiExec.exe /X{90120000-001B-0000-0000-0000000FF1CE}
Microsoft Office Word MUI (Russian) 2007—>MsiExec.exe /X{90120000-001B-0419-0000-0000000FF1CE}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Motorola SM56 Speakerphone Modem—>rundll32.exe sm56co6a.dll,SM56UnInstaller
MSXML 4.0 SP2 (KB927978)—>MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
NB Probe—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{6324A1EF-CEF4-43E3-8BCD-9EF3F67317FD}setup.exe» -l0x9
Nero 8—>MsiExec.exe /X{DFA4CA5A-D073-4964-B8F5-778612851049}
neroxml—>MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Net4Switch—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{9D6D7811-43B3-463C-BC79-5D1755269989}setup.exe» -l0x9
PartyPoker—>»C:ProgramsPartyGamingPartyPokerUninstall.exe» «C:ProgramsPartyGamingPartyPokerinstall.log»
Poker Superstars—>»C:Program FilesOberon MediaPoker SuperstarsUninstall.exe» «C:Program FilesOberon MediaPoker Superstarsinstall.log»
Power4Gear eXtreme—>C:Program FilesInstallShield Installation Information{8CFEBE9C-F29F-4C49-80E0-7106970F8734}SETUP.exe -runfromtemp -l0x0019 -removeonly
PowerForPhone—>C:Program FilesInstallShield Installation Information{FC3D290D-79BE-44B7-ABF9-FDD110925930}setup.exe -runfromtemp -l0x0009 -removeonly
QIP 2005 8082—>»C:Program FilesQIPunins000.exe»
QIP 2005 Uninstall—>»C:Program FilesQIPunqip.exe»
QuickTime—>C:PROGRA~1COMMON~1INSTAL~1Driver11INTEL3~1IDriver.exe /M{4E5E22C2-1386-47AE-8EDE-32DDCDCD6653} /l1033
Realtek High Definition Audio Driver—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1150Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}Setup.exe» -removeonly
SAMSUNG Mobile Modem Driver Set—>C:Windowssystem32Samsung_USB_Drivers3SSCDUninstall.exe
Samsung Mobile phone USB driver Software—>C:Windowssystem32Samsung_USB_Drivers5SSSDUninstall.exe
SAMSUNG Mobile USB Modem 1.0 Software—>C:Program FilesSAMSUNGSAMSUNG Mobile USB Modem 1.0SS_Uninstall.exe
Samsung Mobile USB Modem Software—>C:Windowssystem32SamsungSSM_Uninstall.exe
Samsung PC Studio 3 USB Driver Installer—>»C:Program FilesInstallShield Installation Information{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}setup.exe» -runfromtemp -l0x0019 -removeonly
Samsung PC Studio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1050Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{C4A4722E-79F9-417C-BD72-8D359A090C97}setup.exe» -l0x19 -removeonly
Skype™ 3.8—>MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Sony Noise Reduction Plug-In 2.0h—>MsiExec.exe /X{06A1BE8A-4CA4-4A39-B9E4-E815AA8FE05C}
Sony Sound Forge 9.0—>MsiExec.exe /X{04E1BD4E-7256-4C6D-8BEF-585827B10FF6}
StrongDc Well-Com—>»C:Program FilesStrongDCunins000.exe»
Synaptics Pointing Device Driver—>rundll32.exe «C:Program FilesSynapticsSynTPSynISDLL.dll»,standAloneUninstall
The Bat! Professional v3.99.3—>MsiExec.exe /I{40BF1520-BAB7-4B38-A2FB-C474A888FACA}
TopPlan 2007 Office Edition — Удаление—>C:Program FilesTopPlanOffice 2007uninst.exe
Total Commander 7.02 Total Commander 7.02 PowerPack 1.50—>»C:Program FilesTotal Commanderuninstall.exe»
Total Video Converter 3.01—>»C:Program FilesTotal Video Converterunins000.exe»
Update Manager—>MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
USB2.0 1.3M WebCam—>C:WindowsStkUnist.exe
VC 9.0 Runtime—>MsiExec.exe /I{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}
VC80CRTRedist — 8.0.50727.762—>MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VCRedistSetup—>MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6h—>C:Program FilesVideoLANVLCuninstall.exe
Vit Registry Fix 9.4 (remove only)—>C:Program FilesVITSOFTVit Registry FixUninstall.exe
Vopt 9—>C:PROGRA~1GOLDEN~1VOPT9~1UNWISE.EXE C:PROGRA~1GOLDEN~1VOPT9~1INSTALL.LOG
WildTangent Updater—>C:Windowswtupdaterwcmdmgr.exe -uninstall wcmdmgr.exe
WildTangent Web Driver—>C:Windowswtupdaterwcmdmgr.exe -uninstall wtwebdriver
Winamp (remove only)—>»C:Program FilesWinampUninstWA.exe»
Windows Live OneCare safety scanner—>%ProgramFiles%Windows Live Safety Centerwlschost.exe -Uninstall
WinFlash—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{DE10AB76-4756-4913-BE25-55D1C1051F9A}setup.exe» -l0x9
Wireless Console 2—>C:Program FilesInstallShield Installation Information{83F73CB1-7705-49D1-9852-84D839CA2A45}SETUP.exe -runfromtemp -l0x0009 -removeonly
XVid;-)—>C:Program FilesXVid;-)Uninstall.exe
Антивирус Касперского 6.0 для Windows Workstations—>MsiExec.exe /I{79B986AD-54D8-4498-AA06-89808829ACC0}
Антивирус Касперского 6.0 для Windows Workstations—>MsiExec.exe /I{79B986AD-54D8-4498-AA06-89808829ACC0}
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Единый модуль поддержки сети Fiery—>C:Program FilesFieryAdsFieryAdsUninstall.exe
Энциклопедия НЛП—>MsiExec.exe /X{1AF807D7-9F4C-4AF6-BC35-B936B6355ADE}======Security center information======
AV: Антивирус Касперского
FW: Антивирус Касперского
AS: Защитник Windows (disabled) (outdated)
AS: Антивирус Касперского======System event log======
Computer Name: Андрей-ПК
Event Code: 7000
Message: Сбой при запуске службы «lvupdtio» из-за ошибки
Не удается найти указанный файл.
Record Number: 166796
Source Name: Service Control Manager
Time Written: 20090425081046.000000-000
Event Type: Ошибка
User:Computer Name: Андрей-ПК
Event Code: 10029
Message: DCOM запустил службу TrustedInstaller с аргументами «», чтобы запустить сервер:
{752073A1-23F2-4396-85F0-8FDB879ED0ED}
Record Number: 166797
Source Name: Microsoft-Windows-DistributedCOM
Time Written: 20090425081313.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 7036
Message: Служба «Установщик модулей Windows» перешла в состояние Работает.
Record Number: 166798
Source Name: Service Control Manager
Time Written: 20090425081314.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 7036
Message: Служба «Служба автоматического обнаружения веб-прокси WinHTTP» перешла в состояние Остановлена.
Record Number: 166799
Source Name: Service Control Manager
Time Written: 20090425081727.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 7036
Message: Служба «Установщик модулей Windows» перешла в состояние Остановлена.
Record Number: 166800
Source Name: Service Control Manager
Time Written: 20090425082314.000000-000
Event Type: Сведения
User:=====Application event log=====
Computer Name: Андрей-ПК
Event Code: 1
Message: Клиент служб сертификации запущен.
Record Number: 32804
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090425080046.150464-000
Event Type: Сведения
User: NT AUTHORITYSYSTEMComputer Name: Андрей-ПК
Event Code: 1
Message: Служба центра обеспечения безопасности Windows запущена.
Record Number: 32805
Source Name: SecurityCenter
Time Written: 20090425080238.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 1001
Message: Счетчики производительности для службы WmiApRpl (WmiApRpl) успешно удалены. Данные записи содержат новые значения разделов системного реестра Last Counter и Last Help.
Record Number: 32806
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090425080613.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 1000
Message: Cчетчики производительности для службы WmiApRpl (WmiApRpl) загружены успешно. Данные в секции данных содержат новые значения индексов, назначенные этой службе.
Record Number: 32807
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090425080613.000000-000
Event Type: Сведения
User:Computer Name: Андрей-ПК
Event Code: 5
Message: Unsupported service control request (see data below)
Record Number: 32808
Source Name: LightScribeService
Time Written: 20090425101007.000000-000
Event Type: Сведения
User:=====Security event log=====
Computer Name: Андрей-ПК
Event Code: 4634
Message: Выполнен выход учетной записи из системы.Субъект:
ИД безопасности: S-1-5-7
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x12831c2Тип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Record Number: 35891
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081113103102.149902-000
Event Type: Аудит выполнен успешно
User:Computer Name: Андрей-ПК
Event Code: 4634
Message: Выполнен выход учетной записи из системы.Субъект:
ИД безопасности: S-1-5-21-1264078198-212778677-4080237872-501
Имя учетной записи: Гость
Домен учетной записи: Андрей-ПК
Код входа: 0x128e77fТип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Record Number: 35892
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081113103204.912178-000
Event Type: Аудит выполнен успешно
User:Computer Name: Андрей-ПК
Event Code: 4624
Message: Вход с учетной записью выполнен успешно.Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0Тип входа: 3
Новый вход:
ИД безопасности: S-1-5-7
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x129628d
GUID входа: {00000000-0000-0000-0000-000000000000}Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —Сведения о сети:
Имя рабочей станции: IVANOV_A
Сетевой адрес источника: 192.168.2.131
Порт источника: 3786Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: —
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Record Number: 35893
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081113103240.330720-000
Event Type: Аудит выполнен успешно
User:Computer Name: Андрей-ПК
Event Code: 4634
Message: Выполнен выход учетной записи из системы.Субъект:
ИД безопасности: S-1-5-7
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x129628dТип входа: 3
Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Record Number: 35894
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081113103240.335720-000
Event Type: Аудит выполнен успешно
User:Computer Name: Андрей-ПК
Event Code: 4624
Message: Вход с учетной записью выполнен успешно.Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0Тип входа: 3
Новый вход:
ИД безопасности: S-1-5-7
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x1297f0e
GUID входа: {00000000-0000-0000-0000-000000000000}Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: —Сведения о сети:
Имя рабочей станции: IVANOV_A
Сетевой адрес источника: 192.168.2.131
Порт источника: 3800Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: —
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Record Number: 35895
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20081113103244.988185-000
Event Type: Аудит выполнен успешно
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«Path»=%systemroot%system32;%systemroot%;%systemroot%system32wbem;C:Program FilesATI TechnologiesATI.ACECore-Static;C:Program FilesQuickTimeQTSystem
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
«PROCESSOR_ARCHITECTURE»=x86
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
«USERNAME»=SYSTEM
«windir»=%SystemRoot%
«PROCESSOR_LEVEL»=6
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 15 Stepping 2, GenuineIntel
«PROCESSOR_REVISION»=0f02
«NUMBER_OF_PROCESSORS»=2
«configsetroot»=%SystemRoot%ConfigSetRoot
«CLASSPATH»=C:Program FilesQuickTimeQTSystemQTJava.zip
«QTJAVA»=C:Program FilesQuickTimeQTSystemQTJava.zip
EOF
ComboFix
ComboFix 09-04-25.03 — Андрей 25.04.2009 11:36.1 — NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1251.7.1049.18.2047.1355 [GMT 4:00]
Running from: d:installAntivirusComboFix.exe
AV: Антивирус Касперского *On-access scanning disabled* (Updated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32acovcnt.exe
c:windowssystem32pthreadGC2.dll
D:Autorun.inf.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_RKHIT((((((((((((((((((((((((( Files Created from 2009-05-25 to 2009-4-25 )))))))))))))))))))))))))))))))
.2009-04-25 07:29 . 2009-04-25 07:30
d
w c:windowsInternet Logs
2009-04-24 07:45 . 2009-04-24 07:45
d
w c:usersАндрейAppDataRoamingWebroot
2009-04-24 05:16 . 2009-04-24 07:46
d
w c:usersАндрейAppDataRoamingApplication Data
2009-04-24 05:11 . 2005-09-23 03:29 626688 —-a-w c:windowssystem32msvcr80.dll
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:usersАндрейAppDataRoamingMalwarebytes
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:usersAll UsersMalwarebytes
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:programdataMalwarebytes
2009-04-23 19:07 . 2009-04-23 19:07 3 —-a-w c:windowssystem32_id.dat
2009-04-23 11:24 . 2009-04-23 11:33
d
w C:Downloads
2009-04-23 05:25 . 2009-04-23 10:56
d
w C:с Д
2009-03-27 06:19 . 2009-03-27 06:19
d
w c:usersАндрейAppDataRoamingDivX
2009-03-27 05:55 . 2008-09-16 19:23 168448 —-a-w c:windowssystem32unrar.dll
2009-03-27 05:55 . 2008-10-03 12:30 414 —-a-w c:windowssystem32lame_acm.xml
2009-03-27 05:55 . 2008-09-24 18:41 839680 —-a-w c:windowssystem32lameACM.acm
2009-03-27 05:55 . 2007-09-21 00:52 118784 —-a-w c:windowssystem32ac3acm.acm
2009-03-27 05:55 . 2004-01-25 16:18 217088 —-a-w c:windowssystem32yv12vfw.dll
2009-03-27 05:55 . 2008-12-11 00:33 86016 —-a-w c:windowssystem32dpl100.dll
2009-03-27 05:55 . 2008-12-07 18:08 795648 —-a-w c:windowssystem32xvidcore.dll
2009-03-27 05:55 . 2008-12-07 18:08 130048 —-a-w c:windowssystem32xvidvfw.dll
2009-03-27 05:55 . 2009-02-09 18:56 67584 —-a-w c:windowssystem32ff_vfw.dll
2009-03-27 05:55 . 2007-07-10 16:10 547 —-a-w c:windowssystem32ff_vfw.dll.manifest.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-25 07:42 . 2008-10-31 07:55 48588320 —sha-w c:windowssystem32driversfidbox.dat
2009-04-25 07:40 . 2008-10-31 07:55 656960 —sha-w c:windowssystem32driversfidbox.idx
2009-04-25 07:35 . 2008-12-25 13:59
d
w c:usersАндрейAppDataRoaminguTorrent
2009-04-25 07:30 . 2009-04-25 07:30 284 —-a-w C:INSTALL.LOG
2009-04-25 07:28 . 2009-04-25 07:28
d
w c:program filesWindows Live Safety Center
2009-04-25 07:16 . 2006-11-09 07:21 85044 —-a-w c:windowsSystem32perfc019.dat
2009-04-25 07:16 . 2006-11-09 07:21 526940 —-a-w c:windowsSystem32perfh019.dat
2009-04-25 07:09 . 2008-10-31 07:55
d
w c:programdataKaspersky Lab
2009-04-24 13:26 . 2008-05-28 07:32
d
w c:program filesCity Guide 2.2
2009-04-24 08:40 . 2008-05-29 10:55
d
w c:usersАндрейAppDataRoamingThe Bat!
2009-04-24 07:55 . 2009-04-24 07:45
d
w c:program filesEnigma Software Group
2009-04-24 07:54 . 2007-09-06 18:23
d
w c:program filesGRETECH
2009-04-24 07:46 . 2009-04-24 05:16
d
w c:usersАндрейAppDataRoamingApplication Data
2009-04-24 07:45 . 2009-04-24 07:45
d
w c:usersАндрейAppDataRoamingWebroot
2009-04-24 05:23 . 2009-04-24 05:17
d
w c:program filesCrawler
2009-04-24 05:12 . 2009-04-24 05:11
d
w c:program filesSpyware Doctor
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:usersАндрейAppDataRoamingMalwarebytes
2009-04-23 10:56 . 2009-02-18 06:38 27780 —h—w C:treeinfo.wc
2009-04-07 06:55 . 2009-02-27 23:21
d
w c:program filesJava
2009-04-02 09:54 . 2009-03-27 05:56
d
w c:program filesDivX
2009-04-01 19:43 . 2009-04-01 19:43
d
w c:program filesAviInfo
2009-03-27 12:01 . 2009-01-13 12:41
d
w c:usersАндрейAppDataRoamingSkype
2009-03-27 12:01 . 2009-01-13 12:44
d
w c:usersАндрейAppDataRoamingskypePM
2009-03-27 06:19 . 2009-03-27 06:19
d
w c:usersАндрейAppDataRoamingDivX
2009-03-27 05:55 . 2008-07-31 13:26
d
w c:program filesK-Lite Codec Pack
2009-03-26 09:18 . 2009-03-26 09:18
d
w c:program filesVITSOFT
2009-03-23 08:20 . 2008-05-29 10:53
d
w c:program filesThe Bat!
2009-03-11 06:23 . 2007-09-06 17:03 99864 —-a-w c:usersАндрейAppDataLocalGDIPFONTCACHEV1.DAT
2009-03-11 06:22 . 2007-09-06 19:20
d
w c:programdataMicrosoft Help
2009-03-10 14:25 . 2007-09-06 19:22
d
w c:program filesMicrosoft Works
2009-03-10 14:06 . 2007-09-18 16:08 286720 —-a-w C:Debug.txt
2009-03-10 09:07 . 2007-09-06 17:01
d-s—w c:usersАндрейAppDataRoamingMicrosoft
2009-03-09 20:16 . 2009-01-13 12:09
d
w c:program filesZTE Wireless Terminal
2009-03-09 20:16 . 2009-01-13 12:12
d
w c:usersАндрейAppDataRoamingZTEEVDO
2009-03-09 01:19 . 2009-02-27 23:22 410984 —-a-w c:windowsSystem32deploytk.dll
2009-03-08 01:30 . 2007-09-12 16:17
d
w c:program filesQIP
2009-03-08 01:30 . 2007-09-06 18:28
d
w c:program filesWinamp
2009-03-08 00:17 . 2007-11-08 16:16
d—a-w c:programdataTEMP
2009-03-01 10:04 . 2006-11-02 08:58 802816 —-a-w c:windowssystem32driverstcpip.sys
2009-02-27 16:59 . 2009-02-27 16:58
d
w c:program filesStrongDC
2008-10-31 07:42 . 2008-10-11 09:22 531 —-a-w c:usersАндрейAppDataRoamingfieryads.dat
2008-09-16 16:18 . 2008-09-16 16:13 680 —-a-w c:usersАндрейAppDataLocald3d9caps.dat
2006-11-02 12:50 . 2006-11-02 12:50 174 —sha-w c:program filesdesktop.ini
2000-07-10 08:38 . 2008-05-29 11:19 73728 —-a-w c:program filesMailTime 2.3.1.exe
1999-04-23 19:22 . 2007-04-17 23:29 68871 —sha-r c:windowsConfigSetRootDRVSPACE.BIN
1999-04-23 19:22 . 2007-04-17 23:29 222390 —sha-r c:windowsConfigSetRootIO.SYS
1999-05-05 19:22 . 2007-04-17 23:29 1026 —sha-r c:windowsConfigSetRootMSDOS.SYS
2000-06-21 09:22 . 2007-04-17 23:29 0 —sha-w c:windowsConfigSetRootDOSEBD.SYS
2008-06-17 10:51 . 2008-06-04 11:05 2828 —sha-w c:windowsSystem32KGyGaAvL.sys
.
Sigcheck
[-] 2009-03-01 10:04 802816 501E080DC5897D8E343383C19051075C c:windowsSystem32driverstcpip.sys
[7] 2006-11-02 08:58 802816 D944522B048A5FEB7700B5170D3D9423 c:windowswinsxsx86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16386_none_5f4ed3e0926e99e4tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ehTray.exe»=»c:windowsehomeehTray.exe» [2006-11-02 125440]
«ISUSPM Startup»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2005-08-11 249856]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2006-11-10 90112][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SMSERIAL»=»c:program filesMotorolaSMSERIALsm56hlpr.exe» [2006-11-22 630784]
«ATKMEDIA»=»c:program filesASUSATK MediaDMEDIA.EXE» [2006-11-02 61440]
«ASUS Camera ScreenSaver»=»c:windowsASScrProlog.exe» [2007-09-06 37232]
«ASUS Screen Saver Protector»=»c:windowsASScrPro.exe» [2007-09-06 33136]
«wcmdmgr»=»c:windowswtupdaterwcmdmgrl.exe» [2001-01-25 20480]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2007-09-08 155648]
«D_V_T»=»c:\dvt.exe» [2007-09-21 3584]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-08-11 81920]
«RtHDVCpl»=»RtHDVCpl.exe» — c:windowsRtHDVCpl.exe [2008-07-03 6266880]c:usersЂ¤аҐ©AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
CCC.lnk — c:program filesATI TechnologiesATI.ACECore-StaticCCC.exe [2006-9-29 49152]
Enh.exe [2006-11-22 815104]
Total Commander.lnk — c:program filesTotal CommanderTotalcmd.exe [2007-9-7 1079752]c:programdataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2007-1-18 2752512][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1KASPER~1KASPER~1.0FOadialhk.dll c:progra~1KASPER~1KASPER~1.0FOr3hook.dllHKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
«wave1″= serwvdrv.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoring]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvcS-1-5-21-1264078198-212778677-4080237872-1000]
«EnableNotificationsRef»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicyDomainProfile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicyFirewallRules]
«{B5DA0DF4-3AAC-4263-AD2C-F882D231914B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent (TCP-In)
«{9959FC37-46F9-45E7-8B57-A0728A4406B8}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent (UDP-In)
«{7AB4C651-ECB6-4D6F-BC8D-2B0DC66920DF}»= c:program filesSkypePhoneSkype.exe:Skype
«{9D298752-3A3E-44CB-8C38-E9AC41CA6138}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{F74517EF-F4E5-4A12-B3E0-D6806B79FCEC}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent
«{FA5089E0-EB60-446C-BEEA-03EDCF8DC38B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{3C9F1244-C023-4EF5-A40A-F728E5D786D3}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent[HKLM~servicessharedaccessparametersfirewallpolicyPublicProfile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicyRestrictedServicesStaticSystem]
«DFSR-1″= RPort=5722|UDP:%SystemRoot%system32svchost.exe|Svc=DFSR:Allow inbound TCP traffic|[HKLM~servicessharedaccessparametersfirewallpolicyStandardProfile]
«EnableFirewall»= 0 (0x0)R3 FileObjInfo;FileObjInfo; [x]
R3 ipswuio;ipswuio; [x]
R3 zteusbser;ZTE USB Device for Legacy Serial Communication;c:windowssystem32DRIVERSzteusbser.sys [2008-03-10 99328]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:windowssystem32DRIVERSklim6.sys [2007-04-04 20760]
S2 haspflt;haspflt;c:windowssystem32drivershaspflt.sys [2004-12-10 29024]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:windowsSystem32StkCSrv.exe [2007-02-07 24576]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:windowssystem32DriversStkCMini.sys [2007-02-13 1245056]
S3 WCPU;WCPU;c:program filesP4GWCPU.sys [2007-01-02 11120][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
bthsvcs REG_MULTI_SZ BthServ[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled componentsccc-core-static]
msiexec /fums {8BB7F11E-4F20-9E97-0350-0EEDEF3C3D89} /qb
.
— — — — ORPHANS REMOVED — — — —HKLM-Run-SynTPEnh — c:program filesSynapticsSynTPSynTPEnh.exe
HKCU-Explorer_Run-servises — c:windowssystem32servises.exe.
Supplementary Scan
.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Crawler Search
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-25 11:44
Windows 6.0.6000 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINESystemControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000[HKEY_LOCAL_MACHINESystemControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0002AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000c4
.
Other Running Processes
.
c:windowsSystem32Ati2evxx.exe
c:windowsSystem32audiodg.exe
c:windowsSystem32Ati2evxx.exe
c:program filesATK HotkeyASLDRSrv.exe
c:program filesASUSNet4SwitchNet4Switch.exe
c:program filesATK HotkeyHControl.exe
c:program filesATKOSD2ATKOSD2.exe
c:program filesASUSSplendidACMON.exe
c:program filesP4GBatteryLife.exe
c:windowsSystem32ACEngSvr.exe
c:program filesKaspersky LabKaspersky Anti-Virus 6.0 for Windows Workstationsavp.exe
c:program filesATK HotkeyATKOSD.exe
c:program filesCommon FilesLightScribeLSSrvc.exe
c:program filesCommon Filesmicrosoft sharedVS7DEBUGMDM.EXE
c:users\AppDataRoamingMicrosoftWindowsStart MenuProgramsStartupEnh.exe
c:program filesATI TechnologiesATI.ACECore-StaticMOM.exe
c:windowsehomeehmsas.exe
c:program filesASUSNB ProbeSPMspmgr.exe
c:program filesToshibaBluetooth Toshiba StackTosBtSrv.exe
c:program filesToshibaBluetooth Toshiba StackTosA2dp.exe
c:program filesToshibaBluetooth Toshiba StackTosBtHid.exe
c:windowsSystem32conime.exe
c:windowsSystem32wbemWMIADAP.exe
.
**************************************************************************
.
Completion time: 2009-04-25 11:48 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-25 07:48Pre-Run: 3 534 532 608 байт свободно
Post-Run: 3 189 411 840 байт свободно233
Здравствуйте, добро пожаловать на Spyware-ru форум.
У вас из папки автозагрузки запускается программа Enh.exe, она вам знакома ?
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.Здравствуйте, Валерий.
Программа Enh.exe — это, похоже, программа управления Touchpad-ом (у меня ноутбук), она была изначально в автозагрузке.
Вот отчет онлайн Касперского:28 Апрель 2009 г.
Операционная система: Microsoft Windows Vista Home Premium Edition, 32-bit (build 6000)
Версия Kaspersky Online Scanner: 7.0.26.13
Последнее обновление баз: Monday, April 27, 2009 20:31:12
Количество записей в базах: 2084022Параметры проверки
проверять, используя следующие базы расширенные
Проверять архивы да
Проверять почтовые базы даОбласть проверки Мой компьютер
C:
D:
E:
F:Статистика проверки
Проверено объектов 131498
Обнаружено угроз 1
Обнаружено зараженных объектов 1
Обнаружено подозрительных объектов 0
Время проверки 02:28:41Имя файла Имя угрозы Количество угроз
C:UsersАндрейAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OCI9I4SLindex[2].htm Зараженный: Trojan.JS.Agent.zp 1Выбранная область проверена.
В критических областях он ничего не нашел.
Пока не стал убивать трояна, но не думаю, что только из-за него проблемы, так как после их возникновения я все временные файлы эксплорера удалял. Жду Ваших рекомендаций. 🙂
Проверим ваш компьютер с помощью программы которая ищет руткиты.
Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.Жду от вас GMER лог и свежий Combofix лог.
Последовав Вашим рекомендациям получил следующие логи:
Combofix:
ComboFix 09-04-29.07 — Андрей 30.04.2009 20:03.2 — NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1251.7.1049.18.2047.1352 [GMT 4:00]
Running from: c:usersАндрейDesktopComboFix.exe
AV: Антивирус Касперского *On-access scanning disabled* (Updated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32acovcnt.exe
.
((((((((((((((((((((((((( Files Created from 2009-05-28 to 2009-4-30 )))))))))))))))))))))))))))))))
.2009-04-25 12:38 . 2007-03-07 23:51 129784
w c:windowssystem32pxafs.dll
2009-04-25 10:08 . 2009-04-25 10:10
d
w c:program filestrend micro
2009-04-25 07:29 . 2009-04-25 07:30
d
w c:windowsInternet Logs
2009-04-25 07:28 . 2009-04-25 07:28
d
w c:program filesWindows Live Safety Center
2009-04-24 07:45 . 2009-04-24 07:55
d
w c:program filesEnigma Software Group
2009-04-24 05:17 . 2009-04-24 05:23
d
w c:program filesCrawler
2009-04-24 05:11 . 2009-04-24 05:12
d
w c:program filesSpyware Doctor
2009-04-24 05:11 . 2005-09-23 03:29 626688 —-a-w c:windowssystem32msvcr80.dll
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:programdataMalwarebytes
2009-04-23 19:46 . 2009-04-23 19:46
d
w c:usersAll UsersMalwarebytes
2009-04-23 19:07 . 2009-04-23 19:07 3 —-a-w c:windowssystem32_id.dat
2009-04-23 11:24 . 2009-04-30 14:49
d
w C:Downloads
2009-04-23 05:25 . 2009-04-23 10:56
d
w C:с Д
2009-04-01 19:43 . 2009-04-01 19:43
d
w c:program filesAviInfo.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-30 16:06 . 2008-10-31 07:55 50824736 —sha-w c:windowssystem32driversfidbox.dat
2009-04-30 16:02 . 2006-11-09 07:21 85044 —-a-w c:windowssystem32perfc019.dat
2009-04-30 16:02 . 2006-11-09 07:21 526940 —-a-w c:windowssystem32perfh019.dat
2009-04-30 15:53 . 2008-10-31 07:55 686096 —sha-w c:windowssystem32driversfidbox.idx
2009-04-30 15:53 . 2007-09-06 16:09 12 —-a-w c:windowsbthservsdp.dat
2009-04-30 12:27 . 2008-05-28 07:32
d
w c:program filesCity Guide 2.2
2009-04-25 12:39 . 2007-09-06 18:28
d
w c:program filesWinamp
2009-04-24 07:54 . 2007-09-06 18:23
d
w c:program filesGRETECH
2009-04-07 06:55 . 2009-02-27 23:21
d
w c:program filesJava
2009-04-02 09:54 . 2009-03-27 05:56
d
w c:program filesDivX
2009-03-27 05:55 . 2008-07-31 13:26
d
w c:program filesK-Lite Codec Pack
2009-03-26 09:18 . 2009-03-26 09:18
d
w c:program filesVITSOFT
2009-03-23 08:20 . 2008-05-29 10:53
d
w c:program filesThe Bat!
2009-03-10 14:25 . 2007-09-06 19:22
d
w c:program filesMicrosoft Works
2009-03-09 20:16 . 2009-01-13 12:09
d
w c:program filesZTE Wireless Terminal
2009-03-09 01:19 . 2009-02-27 23:22 410984 —-a-w c:windowssystem32deploytk.dll
2009-03-08 01:30 . 2007-09-12 16:17
d
w c:program filesQIP
2009-03-01 10:04 . 2006-11-02 08:58 802816 —-a-w c:windowssystem32driverstcpip.sys
2009-02-09 18:56 . 2009-03-27 05:55 67584 —-a-w c:windowssystem32ff_vfw.dll
2009-02-04 08:59 . 2008-10-31 07:57 89601 —-a-w c:windowssystem32driversklick.dat
2009-02-04 08:59 . 2008-10-31 07:57 101287 —-a-w c:windowssystem32driversklin.dat
2006-11-02 12:50 . 2006-11-02 12:50 174 —sha-w c:program filesdesktop.ini
2000-07-10 08:38 . 2008-05-29 11:19 73728 —-a-w c:program filesMailTime 2.3.1.exe
1999-04-23 19:22 . 2007-04-17 23:29 68871 —sha-r c:windowsConfigSetRootDRVSPACE.BIN
1999-04-23 19:22 . 2007-04-17 23:29 222390 —sha-r c:windowsConfigSetRootIO.SYS
1999-05-05 19:22 . 2007-04-17 23:29 1026 —sha-r c:windowsConfigSetRootMSDOS.SYS
2000-06-21 09:22 . 2007-04-17 23:29 0 —sha-w c:windowsConfigSetRootDOSEBD.SYS
2008-06-17 10:51 . 2008-06-04 11:05 2828 —sha-w c:windowsSystem32KGyGaAvL.sys
.
Sigcheck
[-] 2009-03-01 10:04 802816 501E080DC5897D8E343383C19051075C c:windowsSystem32driverstcpip.sys
[7] 2006-11-02 08:58 802816 D944522B048A5FEB7700B5170D3D9423 c:windowswinsxsx86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16386_none_5f4ed3e0926e99e4tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ehTray.exe»=»c:windowsehomeehTray.exe» [2006-11-02 125440]
«ISUSPM Startup»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2005-08-11 249856]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2006-11-10 90112][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SMSERIAL»=»c:program filesMotorolaSMSERIALsm56hlpr.exe» [2006-11-22 630784]
«ATKMEDIA»=»c:program filesASUSATK MediaDMEDIA.EXE» [2006-11-02 61440]
«ASUS Camera ScreenSaver»=»c:windowsASScrProlog.exe» [2007-09-06 37232]
«ASUS Screen Saver Protector»=»c:windowsASScrPro.exe» [2007-09-06 33136]
«wcmdmgr»=»c:windowswtupdaterwcmdmgrl.exe» [2001-01-25 20480]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2007-09-08 155648]
«D_V_T»=»c:\dvt.exe» [2007-09-21 3584]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-08-11 81920]
«RtHDVCpl»=»RtHDVCpl.exe» — c:windowsRtHDVCpl.exe [2008-07-03 6266880]c:usersЂ¤аҐ©AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
CCC.lnk — c:program filesATI TechnologiesATI.ACECore-StaticCCC.exe [2006-9-29 49152]
Enh.exe [2006-11-22 815104]
Total Commander.lnk — c:program filesTotal CommanderTotalcmd.exe [2007-9-7 1079752]c:programdataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2007-1-18 2752512][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1KASPER~1KASPER~1.0FOadialhk.dll c:progra~1KASPER~1KASPER~1.0FOr3hook.dllHKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
«wave1″= serwvdrv.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoring]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvcS-1-5-21-1264078198-212778677-4080237872-1000]
«EnableNotificationsRef»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicyDomainProfile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicyFirewallRules]
«{B5DA0DF4-3AAC-4263-AD2C-F882D231914B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent (TCP-In)
«{9959FC37-46F9-45E7-8B57-A0728A4406B8}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent (UDP-In)
«{7AB4C651-ECB6-4D6F-BC8D-2B0DC66920DF}»= c:program filesSkypePhoneSkype.exe:Skype
«{9D298752-3A3E-44CB-8C38-E9AC41CA6138}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{F74517EF-F4E5-4A12-B3E0-D6806B79FCEC}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent
«{FA5089E0-EB60-446C-BEEA-03EDCF8DC38B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{3C9F1244-C023-4EF5-A40A-F728E5D786D3}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent[HKLM~servicessharedaccessparametersfirewallpolicyPublicProfile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicyRestrictedServicesStaticSystem]
«DFSR-1″= RPort=5722|UDP:%SystemRoot%system32svchost.exe|Svc=DFSR:Allow inbound TCP traffic|[HKLM~servicessharedaccessparametersfirewallpolicyStandardProfile]
«EnableFirewall»= 0 (0x0)R3 FileObjInfo;FileObjInfo; [x]
R3 ipswuio;ipswuio; [x]
R3 zteusbser;ZTE USB Device for Legacy Serial Communication;c:windowssystem32DRIVERSzteusbser.sys [2008-03-10 99328]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:windowssystem32DRIVERSklim6.sys [2007-04-04 20760]
S2 haspflt;haspflt;c:windowssystem32drivershaspflt.sys [2004-12-10 29024]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:windowsSystem32StkCSrv.exe [2007-02-07 24576]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:windowssystem32DriversStkCMini.sys [2007-02-13 1245056]
S3 WCPU;WCPU;c:program filesP4GWCPU.sys [2007-01-02 11120][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
bthsvcs REG_MULTI_SZ BthServ[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled componentsccc-core-static]
msiexec /fums {8BB7F11E-4F20-9E97-0350-0EEDEF3C3D89} /qb
.
.
Supplementary Scan
.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Crawler Search
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-30 20:07
Windows 6.0.6000 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@=»FlashBroker»
«LocalizedString»=»@c:\Windows\system32\Macromed\Flash\FlashUtil10b.exe,-101»[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}Elevation]
«Enabled»=dword:00000001[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}LocalServer32]
@=»c:\Windows\system32\Macromed\Flash\FlashUtil10b.exe»[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}TypeLib]
@=»{FAB3E735-69C7-453B-A446-B6823C6DF1C9}»[HKEY_USERSSOFTWAREClassesCLSID{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
@Denied: (A 2) (Everyone)
@=»FlashProp Class»[HKEY_USERSSOFTWAREClassesCLSID{1171A62F-05D2-11D1-83FC-00A0C9089C5A}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash9d.ocx»
«ThreadingModel»=»Apartment»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=»Shockwave Flash Object»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx»
«ThreadingModel»=»Apartment»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}MiscStatus]
@=»0″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ProgID]
@=»ShockwaveFlash.ShockwaveFlash.10″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx, 1″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}TypeLib]
@=»{D27CDB6B-AE6D-11cf-96B8-444553540000}»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}Version]
@=»1.0″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
@=»ShockwaveFlash.ShockwaveFlash»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=»Macromedia Flash Factory Object»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx»
«ThreadingModel»=»Apartment»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ProgID]
@=»FlashFactory.FlashFactory.1″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx, 1″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}TypeLib]
@=»{D27CDB6B-AE6D-11cf-96B8-444553540000}»[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}Version]
@=»1.0″[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
@=»FlashFactory.FlashFactory»[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@=»IFlashBroker2″[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}ProxyStubClsid32]
@=»{00020424-0000-0000-C000-000000000046}»[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}TypeLib]
@=»{FAB3E735-69C7-453B-A446-B6823C6DF1C9}»
«Version»=»1.0»[HKEY_USERSSOFTWAREClassesTypeLib{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)[HKEY_USERSSOFTWAREClassesTypeLib{D27CDB6B-AE6D-11CF-96B8-444553540000}1.0]
@=»Shockwave Flash»[HKEY_USERSSOFTWAREClassesTypeLib{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=»»[HKEY_USERSSOFTWAREClassesTypeLib{FAB3E735-69C7-453B-A446-B6823C6DF1C9}1.0]
@=»FlashBroker»[HKEY_USERSSYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000[HKEY_USERSSYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0001AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000001
«MSCurrentCountry»=dword:00000000[HKEY_USERSSYSTEMControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000[HKEY_USERSSYSTEMControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0002AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000c4[HKEY_USERSSYSTEMControlSet003ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000[HKEY_USERSSYSTEMControlSet003ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0002AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000c4
.
Completion time: 2009-04-30 20:09
ComboFix-quarantined-files.txt 2009-04-30 16:09Pre-Run: 2 341 642 240 байт свободно
Post-Run: 2 164 785 152 байт свободно258
Gmer:
GMER 1.0.15.14972 — http://www.gmer.net
Rootkit scan 2009-04-30 19:48:17
Windows 6.0.6000—- System — GMER 1.0.15 —-
INT 0x06 ??C:Windowssystem32driversHaspnt.sys 8E44716D
INT 0x0E ??C:Windowssystem32driversHaspnt.sys 8E446FC2—- User code sections — GMER 1.0.15 —-
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxIndirectParamW 75A214DA 5 Bytes JMP 715BFEBF C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxExA 75A3570D 5 Bytes JMP 715BFE06 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxParamA 75A365BF 5 Bytes JMP 715BFE84 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxIndirectW 75A3F1B3 5 Bytes JMP 714515DA C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxParamW 75A4129F 5 Bytes JMP 7142F205 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxIndirectParamA 75A629B1 5 Bytes JMP 715BFEFA C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxIndirectA 75A6FAB7 5 Bytes JMP 715BFE40 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxExW 75A6FBB1 5 Bytes JMP 715BFDCC C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)—- User IAT/EAT — GMER 1.0.15 —-
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCloneImage] [73F7FE0C] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDrawImageRectI] [73F4C53D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [73F3A31F] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipSetCompositingMode] [73F3CBEF] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateFromHDC] [73F38AAA] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [73F4DAB8] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipGetImageHeight] [73F37D8D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipGetImageWidth] [73F37CF4] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDisposeImage] [73F36A4E] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [73FCBE7C] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [73F58A5E] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDeleteGraphics] [73F390CD] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipFree] [73F42248] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipAlloc] [73F42273] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdiplusShutdown] [73F47724] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdiplusStartup] [73F47546] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73F7861D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)—- Devices — GMER 1.0.15 —-
AttachedDevice Driverkbdclass DeviceKeyboardClass0 Wdf01000.sys (Динамический WDF/Microsoft Corporation)
Device Driverhardlock DeviceHLVol haspflt.sys
AttachedDevice Driverkbdclass DeviceKeyboardClass1 Wdf01000.sys (Динамический WDF/Microsoft Corporation)
Device Driverhardlock DeviceFNT0 haspflt.sys
AttachedDevice Drivertdx DeviceTcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice Drivertdx DeviceUdp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice FileSystemfastfat Fat fltmgr.sys (Диспетчер фильтров файловых систем Майкрософт/Microsoft Corporation)—- Threads — GMER 1.0.15 —-
Thread System [4:352] 861B97A0
Thread System [4:360] 861B97A0
Thread System [4:364] 861FAA30
Thread System [4:368] 861FAA30
Thread System [4:376] 861FAA30—- Registry — GMER 1.0.15 —-
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 1?2?3?
Reg HKLMSYSTEMControlSet001ServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 2?3?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft 006to004 1?2?3?4?
Reg HKLMSYSTEMCurrentControlSetServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMCurrentControlSetServicesLanmanServerShares@354>0420404O4 ?0404?4:0404 CSCFlags=2048?MaxUses=4294967295?Path=D:????? ??????Permissions=0?Remark=?ShareName=????? ??????Type=0?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 2?3?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft 006to004 1?2?3?4?
Reg HKLMSYSTEMControlSet003ServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMControlSet003ServicesLanmanServerShares@354>0420404O4 ?0404?4:0404 CSCFlags=2048?MaxUses=4294967295?Path=D:????? ??????Permissions=0?Remark=?ShareName=????? ??????Type=0?—- EOF — GMER 1.0.15 —-
Буду ждать Вашего вердикта. Спасибо за уделяемое время! 🙂
Ничего такого, что 100% указывало бы на троян.
Он сейчас себя проявляет ?Я — дилетант в плане определения троян или нет, но проактивная защита каспера и сейчас при включении ноута или когда разрывается соединение интернета и снова я подключаюсь выдает то же окно, где говорится, что процесс services.exe (при включении) или процесс svchost.exe (при переподключении интернета) пытается удалить составы библиотек, загружаемых при старте. Также в окне указываются какие-то ключи реестра. Я запрещаю запускаться этому делу, но перманентно окно выскакивает в случае вышеописанных действий. 🙁 🙁
Также в окне указываются какие-то ключи реестра. Я запрещаю запускаться этому делу, но перманентно окно выскакивает в случае вышеописанных действий
Пришлите скриншот такого сообщения.
Выкладываю скрины в следующей последовательности:
1. Сразу после загрузки системы и Касперского.
2. После нажатия на первом скрине кнопки «Запретить».
3. После нажатия на втором скрине кнопки «Запретить».
4. Сообщение с процессом svchost.exe и нажатием кнопки «подробнее».
Кликните Пуск, Выполнить, введите regedit и нажмите enter.
Откроется редактор реестра.
В левой панели последовательно открывайте ключ реестра, который вам показывает Касперский для первого предупреждения, кликая по знаку + слева от имени ключа:
Кликните правой клавишей по имени ключа идущее после слова «services».
Выберите Экспортировать
Введите имя файла 1 и запишите файл на ваш рабочий стол.
Повторите эту же процедуру и для второго ключа (из второго предупреждения Касперского).
Закройте редактор реестра.Жду от вас содержимое первого и второго файла (предварительно откройте их в блокноте).
При включении Касперский дает предупреждение на 2 ключа, вот их содержимое:
1.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADD]
«Type»=dword:00000001
«Start»=dword:00000004
«ErrorControl»=dword:00000001
«ImagePath»=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,69,00,6e,00,
64,00,6f,00,77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,47,00,45,00,54,00,
50,00,41,00,44,00,44,00,2e,00,73,00,79,00,73,00,00,00
«DisplayName»=»GETPADD»
«DeleteFlag»=dword:00000001[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADDEnum]
«Count»=dword:00000000
«NextInstance»=dword:000000002.
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADDEnum]
«Count»=dword:00000000
«NextInstance»=dword:00000000Вот содержимое ключа, на который ругается Касперский при подключении сети:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces]
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{03895d47-de8c-431b-aa90-001f82875b08}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{03f0e2fe-37f9-4114-a122-d3da733ab454}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{04a044f1-e582-4231-9ba1-e65b629496fb}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{12d1e1bf-7385-4f39-bd0a-00354d32c9da}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1791258e-ade8-4c76-98e3-ad8699c5799a}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1cf97411-c722-41cf-8d96-4f99d62dbea2}]
«Dhcpv6Iaid»=dword:12001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1f380934-153d-43fb-9ebb-68cf0c2e2634}]
«Dhcpv6Iaid»=dword:16001bfc
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2a0d6c62-74db-41f3-8014-2bc342245821}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2b41f346-a9c3-4c53-9026-92a3ffdaedef}]
«Dhcpv6Iaid»=dword:1e000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2ed1ec6b-4aa0-4ec9-9368-6df2d0138acc}]
«Dhcpv6Iaid»=dword:15001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3343c6b7-dd7b-4267-801f-b4ac6711b468}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3451456a-3823-4e23-9915-fa0cdc7e1df5}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3aada232-11af-4488-b6fe-af3ace868329}]
«Dhcpv6Iaid»=dword:150219d2
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{40d31977-6c17-4bbc-b706-24993586991d}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{43175e75-0cb3-4c44-9f57-08efec0fa772}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{43fcf5d6-496b-43f6-a8cf-852a443eac9f}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5226504a-9af0-46d8-9797-752083ec08be}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5391d6a8-2bb8-4bac-9bf4-3fd6b34218be}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{58b510ad-88a3-41da-9a48-27d72306e939}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5db2d3ae-47fc-4f3f-a08d-29ea5d279d0f}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5ffcce94-8d1c-4031-967c-4c7f99251c1c}]
«Dhcpv6Iaid»=dword:0c0015f2
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{68b10683-cb1e-481b-8763-9d2a792b66e0}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{733d30cc-59ea-438e-a2ef-6d317afe8c73}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{76436c40-c574-4126-88a9-eca257e2f80e}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{81a22446-a5d2-4ac6-80e4-4adea415a1cd}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{885729ac-be0b-4359-bd5c-bd84fb3a8b4c}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{8915f06a-641c-41e5-90cd-ea4d2b05e759}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{8a2f800d-48e2-4538-8602-30785e9c65f0}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{947ed2d5-c9b5-4425-a15a-95d50ee0cf9f}]
«Dhcpv6Iaid»=dword:21000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{94dae192-8325-4e74-9206-d8a84d6a25d1}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{971cb316-7a95-4af5-a382-2adecfd92579}]
«Dhcpv6Iaid»=dword:1a020054
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{991ebc40-5ca3-4ed6-90cf-586bf73a1508}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{9b86073e-ba0e-4c2b-be42-595bbb2b94a8}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
«Dhcpv6Iaid»=dword:07001422
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{a3b1998e-3281-46a1-a492-019197ec8043}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{a812b376-973f-4e40-9c4d-ea915f6ae1fc}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{aa66bdc2-0af9-42ff-abd6-55e3923dfbb7}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{ac73e64e-e069-4b79-813a-5b0675d5ca48}]
«Dhcpv6Iaid»=dword:1e000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{afd8218c-f6b4-41c2-b8d3-7709705d90e7}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b29f1eea-1e14-41fb-89b6-a189b92ff937}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b68b938c-0b43-485a-a1d0-94e6a2f441df}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b6ef483f-4db2-48b9-8821-fb7a1cdbc628}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{be87a294-96c0-45fb-ac00-9858d1d05bac}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{c22bcb74-19fa-48f1-ae0c-9568ac648532}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{c5891eab-b4e5-4e8c-bf86-81755c5b8349}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{cfbd6288-2324-4c91-938a-2a34a7126be5}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{d1c756f8-ff4c-4121-8d76-9b38543c4a6b}]
«Dhcpv6Iaid»=dword:10001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{f0437b70-58f9-4a65-8e3a-377b80169b9b}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
«Dhcpv6Iaid»=dword:06001422
«Dhcpv6State»=dword:00000000[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{fd209a3a-99c7-4f11-a007-0a21be4ebd39}]
«Dhcpv6Iaid»=dword:08001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»192.168.2.12»
«Domain»=»»[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{fe9355ed-3720-4171-aea9-56e37b223baa}]
«Dhcpv6Iaid»=dword:0e0019d2
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»Откройте ключ HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADD в редакторе реестра.
В правой части окна найдите параметр ImagePath, запомните его содержимое и проверьте описанный файл на сайте http://www.VirusTotal.com/ru
Результаты сканирования вставьте в ваше следующее сообщение.Есть проблема, этот файл, если и есть в той папке, куда ссылается реестр, то его не видно там, ставил галку «отображать скрытые файлы», думая, что он скрытый, но все равно его по тому пути, который указан в реестре нет. Не видит как «обзорник» virustotal.com, так и проводник, и тотал коммандер. Есть какие-нибудь рекомендации что делать? 😳
- Для ответа в этой теме необходимо авторизоваться.
