- This topic has 24 ответа, 2 участника, and was last updated 16 years, 2 months назад by
.
-
Сообщения
-
Добрый день!
По-прежнему пустой экран при включении.
Создала задачу explorer.exe, всё загрузилось (равно, как и при запросе любой существующей папки).
Но после перезагрузки компьютера снова пусто, в общем пока замкнутый круг. 🙁Не имеет ли смысл удалить, какие-то из ранее активированных программ?
Поскольку проблемы с загрузкой начались после активации OTMoveIT3 думаю не удалить ли его. И как это сделать правильно?Тут дело не в программе OTMoveIt, она сама по-себе ничего не делает.
Просто мы удалили троян, который сам удалил или изменил несколько системных файлов, в результате чего explorer.exe не запускается автоматически.Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.
В конце работы будет показан лог, его вставьте в ваш ответ.Сделано!
после проверки и удаления вирусов программа предложила перезагрузку.
Комп запустился также, как и раньше: без панелей и ярлыков.
А что ещё хуже, в Explorer вернулись порнокартинки 🙁 снова сижу в Mazilla.Malwarebytes’ Anti-Malware 1.34
Версия базы данных: 1833
Windows 5.1.2600 Service Pack 22009-03-11 10:59:10
mbam-log-2009-03-11 (10-59-10).txtТип проверки: Полная (C:|D:|F:|G:|)
Проверено объектов: 161917
Прошло времени: 23 minute(s), 50 second(s)Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 2
Заражено параметров реестра: 2
Заражено папок: 0
Заражено файлов: 49Заражено процессов в памяти:
(Вредоносные программы не обнаружены)Заражено модулей в памяти:
(Вредоносные программы не обнаружены)Заражено ключей реестра:
HKEY_CLASSES_ROOTCLSID{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESYSTEMControlSet002Servicesws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESYSTEMControlSet003Servicesws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesws2_32sik (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycrypt (Trojan.Agent) -> Quarantined and deleted successfully.Заражено значений реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRuninetchk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftkr_done1 (Malware.Trace) -> Quarantined and deleted successfully.Заражено параметров реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Trojan.Dropper) -> Data: c:windowssystem32userinit.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit (Trojan.Dropper) -> Data: system32userinit.exe -> Quarantined and deleted successfully.Заражено папок:
(Вредоносные программы не обнаружены)Заражено файлов:
C:Documents and SettingsАдминистраторАдминистратор.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:Program FilesBearPaw 1200CSPanelnotes46.exe (Backdoor.VBBot.H) -> Quarantined and deleted successfully.
C:QooboxQuarantineCDocuments and SettingsАдминистраторj.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:QooboxQuarantineCWINDOWSsystem32wpv221234083759.cpx.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:Documents and SettingsАдминистраторLocal SettingsTempms1236756514.exe (Trojan.Agent) -> Delete on reboot.
C:WINDOWSsystem32driversws2_32sik.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWSsystem32wpv181234083989.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWSsystem32wpv871235998315.cpx (Trojan.Agent) -> Delete on reboot.
C:Documents and SettingsАдминистраторLocal SettingsTempie3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWSsystem32crypts.dll (Trojan.Agent) -> Delete on reboot.
C:Documents and SettingsАдминистраторLocal SettingsTempBN4E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN2A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN2C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN2E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN32.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN35.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN37.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN3E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN44.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN45.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN49.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN4A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN4B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN50.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN52.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN55.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN5E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN60.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN62.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN64.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN67.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN6C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN70.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN71.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN74.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN76.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN77.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN78.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN7E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN7F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN82.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN84.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN85.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN8E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN8F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN90.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN93.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWStempBN94.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:WINDOWSsystem32kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.То что в IE вернулись п.рно картинки, не имеет никакого отношения к Malwarebytes Anti-malware.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.ComboFix 09-03-10.03 — Администратор 2009-03-12 20:51:06.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1023.568 [GMT 3:00]
Running from: c:documents and settingsАдминистраторРабочий столComboFix.exe
AV: Doctor Web Anti-Virus *On-access scanning disabled* (Outdated)
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:program filesCommon Files{6EA9B~1
c:program filesCommon Files{6EA9B~1componentsadblock.daz
c:program filesCommon Files{6EA9B~1componentsahahgo.daz
c:program filesCommon Files{6EA9B~1componentspunder.daz
c:program filesCommon Files{6EA9B~1componentssystemahah.daz
c:program filesCommon Files{6EA9B~1componentssystemahahjs.daz
c:program filesCommon Files{6EA9B~1componentssystemidh.daz
c:program filesCommon Files{6EA9B~1componentssystemidhi.daz
c:program filesCommon Files{6EA9B~1componentssysteminit.daz
c:program filesCommon Files{6EA9B~1componentssystemkmodule.daz
c:program filesCommon Files{6EA9B~1componentssystempersinfo.daz
c:program filesCommon Files{6EA9B~1componentssystempudatapuinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsearchlist.daz
c:program filesCommon Files{6EA9B~1componentssystemsysinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsysutils.daz
c:program filesCommon Files{6EA9B~1componentssystemtarball.daz
c:program filesCommon Files{6EA9B~1componentssystemupserver.daz
c:program filesCommon Files{6EA9B~1componentssystemupserverlist.daz
c:program filesCommon Files{6EA9B~1componentssystemwatchinit.daz
c:program filesCommon Files{6EA9B~1componentswatcherscomp_up.daz
c:program filesCommon Files{6EA9B~1componentswatcherspun_up.daz
c:program filesCommon Files{6EA9B~1pdata.dat
c:program filesInternet Explorersetupapi.dll
c:program filesMozilla Firefoxsetupapi.dll
c:windowssystem32driversstr.sys
c:windowswiaserviv.log
.
—- Previous Run
.
c:documents and settingsАдминистраторj.exe
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:documents and settingsАдминистраторResErrors.log
c:documents and settingsAll UsersApplication Dataazdlib.dll
c:program filesCommon Files{6EA9B~1
c:program filesCommon Files{6EA9B~1componentsadblock.daz
c:program filesCommon Files{6EA9B~1componentsahahgo.daz
c:program filesCommon Files{6EA9B~1componentspunder.daz
c:program filesCommon Files{6EA9B~1componentssystemahah.daz
c:program filesCommon Files{6EA9B~1componentssystemahahjs.daz
c:program filesCommon Files{6EA9B~1componentssysteminit.daz
c:program filesCommon Files{6EA9B~1componentssystemkmodule.daz
c:program filesCommon Files{6EA9B~1componentssystempersinfo.daz
c:program filesCommon Files{6EA9B~1componentssystempudatapuinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsearchlist.daz
c:program filesCommon Files{6EA9B~1componentssystemsysinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsysutils.daz
c:program filesCommon Files{6EA9B~1componentssystemtarball.daz
c:program filesCommon Files{6EA9B~1componentssystemupserver.daz
c:program filesCommon Files{6EA9B~1componentssystemupserverlist.daz
c:program filesCommon Files{6EA9B~1componentssystemwatchinit.daz
c:program filesCommon Files{6EA9B~1componentswatcherscomp_up.daz
c:program filesCommon Files{6EA9B~1componentswatcherspun_up.daz
c:program filesCommon Files{6EA9B~1pdata.dat
C:UGA6P
c:windowsmsauc.exe
c:windowssystem32crypts.dll
c:windowssystem32digeste.dll
c:windowssystem32driversstr.sys
c:windowssystem32shell31.dll
c:windowssystem32wpv221234083759.cpx
c:windowssystem32wpv371234083698.cpx
c:windowswiaserviv.log.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_FMTR((((((((((((((((((((((((( Files Created from 2009-02-12 to 2009-03-12 )))))))))))))))))))))))))))))))
.2009-03-11 14:11 . 2009-03-12 20:45 23,040 —a
c:windowssystem32emqsys.dll
2009-03-11 14:04 . 2009-03-12 20:50d
c:program filesC0C8E5FD-B629-4644-81CD-E8E0FDF6A85D
2009-03-11 10:32 . 2009-03-11 10:32d
c:program filesMalwarebytes’ Anti-Malware
2009-03-11 10:32 . 2009-03-11 10:32d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-03-11 10:32 . 2009-03-11 10:32 331,776 —a
c:windowssystem32zpx2.exe
2009-03-11 10:32 . 2009-02-11 10:19 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-03-11 10:32 . 2009-02-11 10:19 15,504 —a
c:windowssystem32driversmbam.sys
2009-03-11 10:27 . 2009-03-11 10:28 626,688 —a
c:documents and settingsAll UsersApplication Databfvlib.dll
2009-03-11 10:26 . 2009-03-12 20:52 99,492 —a
c:windowssystem32driverse113a8ff.sys
2009-03-03 20:33 . 2009-03-03 20:33 250 —a
c:windowsgmer.ini
2009-02-25 22:19 . 2009-02-25 22:19d
C:_OTMoveIt
2009-02-20 20:32 . 2009-02-20 20:32d
C:rsit
2009-02-20 20:32 . 2009-02-26 18:14d
c:program filestrend micro
2009-02-18 00:02 . 2009-02-18 00:02 0 —a
c:windowsnsreg.dat
2009-02-17 23:55 . 2009-02-17 23:58 7,774,912 —a
c:program filesFirefox Setup 3.0.6.exe
2009-02-17 15:29 . 2009-02-18 22:12 2,924,367 -ra
c:documents and settingsАдминистраторComboFix.exe
2009-02-17 15:29 . 2009-02-18 22:12 2,924,367 -ra
c:documents and settingsАдминистраторComboFix.exe
2009-02-17 14:51 . 2009-02-17 14:51d
c:program filesJavaSoft
2009-02-17 14:51 . 2001-05-06 11:14 24,665 —a
c:windowssystem32plugincpl131.cpl
2009-02-17 14:50 . 2009-03-11 11:03d
c:program filesOpera
2009-02-17 14:46 . 2009-02-17 14:57d
c:program filesDrWeb for Windows
2009-02-17 14:46 . 2001-09-25 04:26 67,584 —a
c:windowssystem32Spider.cpl
2009-02-17 14:46 . 2001-09-25 04:26 4,240 —a
c:windowssystem32driversdrwebnet.sys
2009-02-16 21:36 . 2009-03-12 17:14 10 —a
c:windowssystem32pup.dz
2009-02-16 21:35 . 2009-03-12 10:32 10 —a
c:windowssystem32cup.dz.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-11 08:03 331,776 —-a-w c:windowsHelpzpx2.exe
2009-03-09 06:37
d
w c:program filesICQ6.5
2009-02-17 12:34
d
w c:program filesDrWeb
2009-02-17 11:08 22,528 —-a-w c:windowssystem32userinit.exe
2009-02-04 18:11
d—h—w c:program filesInstallShield Installation Information
2009-02-03 17:00
d
w c:program filesQIP.Online
2009-02-03 17:00
d
w c:program filesQIP Infium
2008-12-20 23:03 826,368 —-a-w c:windowssystem32wininet.dll
2008-05-10 07:16 3,138,557 —-a-w c:program filesezmp3xp.exe
2008-01-15 09:19 15,621,848 —-a-w c:program filesj2re-1_4_2_14-windows-i586-p.exe
.
Sigcheck
2008-04-14 19:11 26624 4f88778dd0cd6b99fcda408e16b36ae7 c:windowsSoftwareDistributionDownloadf0863ff04d4c2c949d9b79bc2578502buserinit.exe
2009-02-17 14:08 22528 de1ecdd0a9423086b8ecd04684041992 c:windowssystem32userinit.exe
2004-08-17 15:05 25088 b5f1a73edab83fa2db9662e10e027587 c:windowssystem32dllcacheuserinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-17_16.00.27.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-03 17:33:21 884,736 —-a-w c:windowsgmer.dll
+ 2008-04-17 18:13:02 811,008 —-a-w c:windowsgmer.exe
— 2009-02-17 12:43:01 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
+ 2009-03-03 17:04:16 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
— 2009-02-17 12:43:01 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
+ 2009-03-03 17:04:16 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
— 2009-02-17 12:43:01 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
+ 2009-03-03 17:04:16 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
— 2007-10-25 16:57:20 8,472,064 -c—a-w c:windowssystem32dllcacheshell32.dll
+ 2008-07-03 13:16:01 8,472,064 -c—a-w c:windowssystem32dllcacheshell32.dll
+ 2009-03-03 17:33:22 85,969 —-a-w c:windowssystem32driversgmer.sys
— 2008-10-18 12:48:59 203,328 —-a-w c:windowssystem32FNTCACHE.DAT
+ 2009-02-26 15:12:27 203,328 —-a-w c:windowssystem32FNTCACHE.DAT
— 2007-10-25 16:57:20 8,472,064 —-a-w c:windowssystem32shell32.dll
+ 2008-07-03 13:16:01 8,472,064 —-a-w c:windowssystem32shell32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{abc27b2b-b16e-40ce-9da5-5d2e56f2011e}]
2009-03-11 10:28 626688 —a
c:documents and settingsAll UsersApplication Databfvlib.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«PcSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2006-06-27 1449984]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2004-11-13 205824][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Camera Detector»=»c:progra~1ACDSYS~1DEVDET~1DEVDET~1.EXE» [2003-06-17 208896]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-09-10 4412920]
«PCSuiteTrayApplication»=»c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE» [2006-06-15 229376]
«nod32kui»=»c:program filesEsetnod32kui.exe» [BU]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2005-05-11 49152]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-03-17 7561216]
«SunJavaUpdateSched»=»c:program filesJavajre1.6.0_03binjusched.exe» [2007-09-25 132496]
«DrWebScheduler»=»c:program filesDrWebDRWEBSCD.EXE» [BU]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [BU]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«SpIDer»=»c:program filesDrWeb for WindowsSpider.exe» [2001-10-17 139264]
«nwiz»=»nwiz.exe» [2006-03-17 c:windowssystem32nwiz.exe]
«SoundMan»=»SOUNDMAN.EXE» [2006-06-21 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2005-05-11 282624]
Microsoft Office.lnk — c:program filesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]
Ulead Photo Express 3.0 SE Calendar Checker.lnk — c:program filesUlead SystemsUlead Photo Express 3.0 SECalCheck.exe [2006-11-29 61440]
Ѓлбвал© § ЇгбЄ HP Image Zone.lnk — c:program filesHPDigital Imagingbinhpqthb08.exe [2005-05-12 73728]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«msacm.l3fhg»= mp3fhg.acm
«msacm.divxa32″= divxa32.acm
«msacm.imc»= imc32.acm[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=R1 drwebnet;SpIDer Guard boot hook driver for Windows NT;c:windowssystem32driversdrwebnet.sys [2009-02-17 4240]
R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [2007-09-11 15424]
R2 SPIDER;SpIDer FS Monitor for Windows NT;c:program filesDrWeb for WindowsSpider.sys [2009-02-17 133104]
R2 spidernt;SpIDer Guard for Windows NT;c:program filesDrWeb for WindowsSpidernt.exe [2009-02-17 69120]
R2 winsecguard;Windows Security Guard;c:windowsHelpzpx2.exe winsecguard «c:program filesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}components» —> c:windowsHelpzpx2.exe winsecguard c:program filesCommon Files{6EA9B29A-C801-4F76-805F-E41ACF9ED16Z}components [?]
R3 PhTVTune;Cap7134 TVTuner;c:windowssystem32driversPhTVTune.sys [2006-11-20 54976]
S3 FXDRV;FXDRV;??e:fxdrv.sys —> e:Fxdrv.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;??e:ntglm7x.sys —> e:NTGLM7X.sys [?]
.
— — — — ORPHANS REMOVED — — — —HKCU-Run-Администратор — c:documents and settingsАдминистраторАдминистратор.exe
.
Supplementary Scan
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:8600
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
IE: Закачать &все при помощи ReGet Deluxe — c:program filesCommon FilesReGet SharedCC_All.htm
IE: Закачать при помощи Re&Get Deluxe — c:program filesCommon FilesReGet SharedCC_Link.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
LSP: c:windowssystem32DRWEBSP.DLL
FF — ProfilePath — c:documents and settingsАдминистраторApplication DataMozillaFirefoxProfiles8ay9ucd0.default
FF — prefs.js: network.proxy.http — 127.0.0.1
FF — prefs.js: network.proxy.http_port — 8600
FF — prefs.js: network.proxy.type — 1
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava11.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava12.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava131.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava32.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-12 20:52:32
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet002Servicese113a8ff]
«ImagePath»=»SystemRootSystem32driverse113a8ff.sys»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(772)
c:windowssystem32DRWEBSP.DLL
.
Completion time: 2009-03-12 20:53:29
ComboFix-quarantined-files.txt 2009-03-12 17:53:19Pre-Run: 4,184,821,760 байт свободно
Post-Run: 4,176,257,024 байт свободно251 — E O F — 2009-02-25 08:18:29
вот такое сообщение всплывает сегодня:
There is a strong evidence of spyware/malware activity on your computer. It is highly recommended to scan your system for malicious software. Please download antispyware software and scan your system.Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
winsecguard
e113a8ff
Registry:
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{abc27b2b-b16e-40ce-9da5-5d2e56f2011e}]
File::
c:documents and settingsAll UsersApplication Databfvlib.dll
FireFox::
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 8600
FF - prefs.js: network.proxy.type - 1Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.ComboFix 09-03-13.02 — Администратор 2009-03-14 19:33:40.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1023.644 [GMT 3:00]
Running from: c:documents and settingsАдминистраторРабочий столComboFix.exe
Command switches used :: c:documents and settingsАдминистраторРабочий столCFScript.txt
AV: Doctor Web Anti-Virus *On-access scanning disabled* (Outdated)
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:documents and settingsAll UsersApplication Databfvlib.dll
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.jpg
c:documents and settingsАдминистраторLocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsАдминистраторLocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:documents and settingsAll UsersApplication Databfvlib.dll
c:program filesCommon Files{6EA9B~1
c:program filesCommon Files{6EA9B~1componentsadblock.daz
c:program filesCommon Files{6EA9B~1componentsahahgo.daz
c:program filesCommon Files{6EA9B~1componentspunder.daz
c:program filesCommon Files{6EA9B~1componentssystemahah.daz
c:program filesCommon Files{6EA9B~1componentssystemahahjs.daz
c:program filesCommon Files{6EA9B~1componentssystemidh.daz
c:program filesCommon Files{6EA9B~1componentssystemidhi.daz
c:program filesCommon Files{6EA9B~1componentssysteminit.daz
c:program filesCommon Files{6EA9B~1componentssystemkmodule.daz
c:program filesCommon Files{6EA9B~1componentssystempersinfo.daz
c:program filesCommon Files{6EA9B~1componentssystempudatapuinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsearchlist.daz
c:program filesCommon Files{6EA9B~1componentssystemsysinfo.daz
c:program filesCommon Files{6EA9B~1componentssystemsysutils.daz
c:program filesCommon Files{6EA9B~1componentssystemtarball.daz
c:program filesCommon Files{6EA9B~1componentssystemupserver.daz
c:program filesCommon Files{6EA9B~1componentssystemupserverlist.daz
c:program filesCommon Files{6EA9B~1componentssystemwatchinit.daz
c:program filesCommon Files{6EA9B~1componentswatcherscomp_up.daz
c:program filesCommon Files{6EA9B~1componentswatcherspun_up.daz
c:program filesCommon Files{6EA9B~1pdata.dat
c:program filesInternet Explorersetupapi.dll
c:program filesMozilla Firefoxsetupapi.dll
c:windowstemp16374013.exe.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_WINSECGUARD
Service_e113a8ff
Service_winsecguard((((((((((((((((((((((((( Files Created from 2009-02-14 to 2009-03-14 )))))))))))))))))))))))))))))))
.2009-03-11 14:11 . 2009-03-12 21:38 23,040 —a
c:windowssystem32emqsys.dll
2009-03-11 14:04 . 2009-03-13 11:22d
c:program filesC0C8E5FD-B629-4644-81CD-E8E0FDF6A85D
2009-03-11 10:32 . 2009-03-11 10:32d
c:program filesMalwarebytes’ Anti-Malware
2009-03-11 10:32 . 2009-03-11 10:32d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-03-11 10:32 . 2009-03-11 10:32d
c:documents and settingsАдминистраторApplication DataMalwarebytes
2009-03-11 10:32 . 2009-03-11 10:32 331,776 —a
c:windowssystem32zpx2.exe
2009-03-11 10:32 . 2009-02-11 10:19 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-03-11 10:32 . 2009-02-11 10:19 15,504 —a
c:windowssystem32driversmbam.sys
2009-03-11 10:26 . 2009-03-14 19:37 99,492 —a
c:windowssystem32driverse113a8ff.sys
2009-03-03 20:33 . 2009-03-03 20:33 250 —a
c:windowsgmer.ini
2009-02-18 00:02 . 2009-02-18 00:02d
c:documents and settingsАдминистраторApplication DataMozilla
2009-02-18 00:02 . 2009-02-18 00:02 0 —a
c:windowsnsreg.dat
2009-02-17 23:55 . 2009-02-17 23:58 7,774,912 —a
c:program filesFirefox Setup 3.0.6.exe
2009-02-17 14:51 . 2009-02-17 14:51d
c:program filesJavaSoft
2009-02-17 14:51 . 2001-05-06 11:14 24,665 —a
c:windowssystem32plugincpl131.cpl
2009-02-17 14:50 . 2009-03-11 11:03d
c:program filesOpera
2009-02-17 14:46 . 2009-02-17 14:57d
c:program filesDrWeb for Windows
2009-02-17 14:46 . 2001-09-25 04:26 67,584 —a
c:windowssystem32Spider.cpl
2009-02-17 14:46 . 2001-09-25 04:26 4,240 —a
c:windowssystem32driversdrwebnet.sys
2009-02-16 21:36 . 2009-03-12 17:14 10 —a
c:windowssystem32pup.dz
2009-02-16 21:35 . 2009-03-13 11:12 10 —a
c:windowssystem32cup.dz.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-13 12:59
d
w c:documents and settingsАдминистраторApplication DatauTorrent
2009-03-13 09:11
d
w c:documents and settingsАдминистраторApplication DataMra
2009-03-10 14:30 48,936 —-a-w c:documents and settingsАдминистраторApplication DataGDIPFONTCACHEV1.DAT
2009-03-09 06:37
d
w c:program filesICQ6.5
2009-02-17 12:34
d
w c:program filesDrWeb
2009-02-04 19:12
d
w c:documents and settingsАдминистраторApplication DataICQ
2009-02-04 18:11
d—h—w c:program filesInstallShield Installation Information
2009-02-03 17:00
d
w c:program filesQIP.Online
2009-02-03 17:00
d
w c:program filesQIP Infium
2008-05-10 07:16 3,138,557 —-a-w c:program filesezmp3xp.exe
2008-01-15 09:19 15,621,848 —-a-w c:program filesj2re-1_4_2_14-windows-i586-p.exe
.
Sigcheck
2008-04-14 19:11 26624 4f88778dd0cd6b99fcda408e16b36ae7 c:windowsSoftwareDistributionDownloadf0863ff04d4c2c949d9b79bc2578502buserinit.exe
2009-02-17 14:08 22528 de1ecdd0a9423086b8ecd04684041992 c:windowssystem32userinit.exe
2004-08-17 15:05 25088 b5f1a73edab83fa2db9662e10e027587 c:windowssystem32dllcacheuserinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-17_16.00.27.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-12 18:22:45 332,288 —-a-w c:windowsassemblyzpx2.exe
+ 2009-03-03 17:33:21 884,736 —-a-w c:windowsgmer.dll
+ 2008-04-17 18:13:02 811,008 —-a-w c:windowsgmer.exe
— 2009-02-17 12:43:01 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
+ 2009-03-03 17:04:16 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
— 2009-02-17 12:43:01 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
+ 2009-03-03 17:04:16 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
— 2009-02-17 12:43:01 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
+ 2009-03-03 17:04:16 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
— 2007-10-25 16:57:20 8,472,064 -c—a-w c:windowssystem32dllcacheshell32.dll
+ 2008-07-03 13:16:01 8,472,064 -c—a-w c:windowssystem32dllcacheshell32.dll
+ 2009-03-03 17:33:22 85,969 —-a-w c:windowssystem32driversgmer.sys
— 2008-10-18 12:48:59 203,328 —-a-w c:windowssystem32FNTCACHE.DAT
+ 2009-02-26 15:12:27 203,328 —-a-w c:windowssystem32FNTCACHE.DAT
— 2007-10-25 16:57:20 8,472,064 —-a-w c:windowssystem32shell32.dll
+ 2008-07-03 13:16:01 8,472,064 —-a-w c:windowssystem32shell32.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2004-11-13 205824]
«InetChk»=»c:docume~19335~1LOCALS~1Tempms1237048725.exe» [2009-03-14 71680][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Camera Detector»=»c:progra~1ACDSYS~1DEVDET~1DEVDET~1.EXE» [2003-06-17 208896]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-09-10 4412920]
«PCSuiteTrayApplication»=»c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE» [2006-06-15 229376]
«nod32kui»=»c:program filesEsetnod32kui.exe» [BU]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2005-05-11 49152]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-03-17 7561216]
«SunJavaUpdateSched»=»c:program filesJavajre1.6.0_03binjusched.exe» [2007-09-25 132496]
«DrWebScheduler»=»c:program filesDrWebDRWEBSCD.EXE» [BU]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [BU]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«SpIDer»=»c:program filesDrWeb for WindowsSpider.exe» [2001-10-17 139264]
«nwiz»=»nwiz.exe» [2006-03-17 c:windowssystem32nwiz.exe]
«SoundMan»=»SOUNDMAN.EXE» [2006-06-21 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsЂ¤¬ЁЁбва в®аѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — c:program filesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2008-03-02 344064]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2005-05-11 282624]
Microsoft Office.lnk — c:program filesMicrosoft OfficeOffice10OSA.EXE [2001-02-13 83360]
Ulead Photo Express 3.0 SE Calendar Checker.lnk — c:program filesUlead SystemsUlead Photo Express 3.0 SECalCheck.exe [2006-11-29 61440]
Ѓлбвал© § ЇгбЄ HP Image Zone.lnk — c:program filesHPDigital Imagingbinhpqthb08.exe [2005-05-12 73728]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=emqsys.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«msacm.l3fhg»= mp3fhg.acm
«msacm.divxa32″= divxa32.acm
«msacm.imc»= imc32.acm[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=R1 drwebnet;SpIDer Guard boot hook driver for Windows NT;c:windowssystem32driversdrwebnet.sys [2009-02-17 4240]
R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [2007-09-11 15424]
R2 SPIDER;SpIDer FS Monitor for Windows NT;c:program filesDrWeb for WindowsSpider.sys [2009-02-17 133104]
R2 spidernt;SpIDer Guard for Windows NT;c:program filesDrWeb for WindowsSpidernt.exe [2009-02-17 69120]
R3 PhTVTune;Cap7134 TVTuner;c:windowssystem32driversPhTVTune.sys [2006-11-20 54976]
S3 FXDRV;FXDRV;??e:fxdrv.sys —> e:Fxdrv.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;??e:ntglm7x.sys —> e:NTGLM7X.sys [?]
.
— — — — ORPHANS REMOVED — — — —BHO-{abc27b2b-b16e-40ce-9da5-5d2e56f2011e} — c:documents and settingsAll UsersApplication Databfvlib.dll
.
Supplementary Scan
.
uStart Page = about:blank
uInternet Settings,ProxyServer = http=127.0.0.1:8600
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
IE: Закачать &все при помощи ReGet Deluxe — c:program filesCommon FilesReGet SharedCC_All.htm
IE: Закачать при помощи Re&Get Deluxe — c:program filesCommon FilesReGet SharedCC_Link.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
LSP: c:windowssystem32DRWEBSP.DLL
FF — ProfilePath — c:documents and settingsАдминистраторApplication DataMozillaFirefoxProfiles8ay9ucd0.default
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava11.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava12.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava131.dll
FF — plugin: c:program filesOperaProgramPluginsNPJava32.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-14 19:37:41
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet002Servicese113a8ff]
«ImagePath»=»SystemRootSystem32driverse113a8ff.sys»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(776)
c:windowssystem32DRWEBSP.DLL
.
Other Running Processes
.
c:program filesCommon FilesMicrosoft SharedVS7Debugmdm.exe
c:program filesESETnod32krn.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wscntfy.exe
c:program filesDrWebspiderui.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
c:program filesHPDigital Imagingbinhpqimzone.exe
c:program filesHPDigital Imagingbinhpqste08.exe
.
**************************************************************************
.
Completion time: 2009-03-14 19:39:17 — machine was rebooted
ComboFix-quarantined-files.txt 2009-03-14 16:39:13Pre-Run: 4 371 705 856 байт свободно
Post-Run: 4,543,115,264 байт свободно231 — E O F — 2009-02-25 08:18:29
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
e113a8ff
Registry::
[-HKEY_LOCAL_MACHINESystemControlSet002Servicese113a8ff]
File::
%windir%System32driverse113a8ff.sys
DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:8600Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Для ответа в этой теме необходимо авторизоваться.
