- This topic has 1 ответ, 2 участника, and was last updated 15 years, 5 months назад by
.
-
Сообщения
-
Попал на каком-то сайте на plugin.exe. Удалил вручную, проверил ComboFix. Пока вроде все нормально. Что посоветуете сделать дальше?
________________________________ лог:ComboFix 10-03-22.02 — Женек 23.03.2010 9:29.1.2 — x86
Microsoft Windows XP Home Edition 5.1.2600.2.1251.7.1049.18.1022.724 [GMT 3:00]
Running from: c:documents and settingsЖенекРабочий столComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsЖенекГлавное менюПрограммыVKSaver
c:documents and settingsЖенекГлавное менюПрограммыVKSaverUninstall.lnk
c:program filesCommon FilesTarget Marketing Agency
c:program filesCommon FilesTarget Marketing AgencyTMAgentlicense.txt
c:program filesVKSaver
c:program filesVKSaveruninstall.exe
c:windowssystem32vksaver.dll.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_NUPS((((((((((((((((((((((((( Files Created from 2010-02-23 to 2010-03-23 )))))))))))))))))))))))))))))))
.2010-03-23 05:40 . 2010-03-23 05:40 107 —-a-w- c:documents and settingsЖенекdel.bat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-23 06:37 . 2007-12-01 14:38
d
w- c:documents and settingsAll UsersApplication DataKaspersky Lab
2010-03-23 06:34 . 2009-04-28 07:26 917536 —sha-w- c:windowssystem32driversfidbox2.dat
2010-03-23 06:34 . 2009-04-28 07:26 6741536 —sha-w- c:windowssystem32driversfidbox.dat
2010-03-23 06:34 . 2009-04-28 07:26 54796 —sha-w- c:windowssystem32driversfidbox.idx
2010-03-23 06:34 . 2009-04-28 07:26 4216 —sha-w- c:windowssystem32driversfidbox2.idx
2010-03-23 05:23 . 2007-12-15 10:36
d
w- c:documents and settingsЖенекApplication DatauTorrent
2010-03-11 04:12 . 2007-12-15 10:36
d
w- c:program filesuTorrent
2010-02-08 16:12 . 2007-08-21 15:50
d
w- c:program filesMafia
2010-01-05 09:58 . 2004-08-18 12:00 832512 —-a-w- c:windowssystem32wininet.dll
2010-01-05 09:57 . 2004-08-18 12:00 78336 —-a-w- c:windowssystem32ieencode.dll
2010-01-05 09:57 . 2004-08-18 12:00 17408 —-a-w- c:windowssystem32corpol.dll
2009-12-31 16:14 . 2005-05-10 00:17 352640 —-a-w- c:windowssystem32driverssrv.sys
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Yupdate!»=»c:program filesCommon FilesYandexYupdateyupdate.exe» [2008-03-14 457992]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadLibNMBgMonitor.exe» [2007-03-12 153136]
«DAEMON Tools»=»c:program filesDAEMON Toolsdaemon.exe» [2007-08-29 171464]
«googletalk»=»c:program filesGoogleGoogle Talkgoogletalk.exe» [2007-11-21 3293184][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SunJavaUpdateSched»=»c:program filesJavajre1.6.0_02binjusched.exe» [2007-07-12 132496]
«RTHDCPL»=»RTHDCPL.EXE» [2006-10-30 16269312]
«SkyTel»=»SkyTel.EXE» [2006-05-16 2879488]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-08-11 7630848]
«nwiz»=»nwiz.exe» [2006-08-11 1519616]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-08-11 86016]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2006-10-26 31016]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2007-03-09 153136]
«AVP»=»c:program filesKaspersky LabKaspersky Internet Security 2009avp.exe» [2009-07-21 208616][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2008-1-6 113664]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\ICQ6\ICQ.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\GROOVE.EXE»=
«c:\Program Files\QIP\qip.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Opera\Opera.exe»=
«c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.321\Russian\setup.exe»=
«c:\Program Files\SopCast\SopCast.exe»=
«c:\Program Files\SopCast\adv\SopAdver.exe»=
«c:\Program Files\Google\Google Talk\googletalk.exe»=R0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [29.01.2008 16:29 33808]
R0 sptd;sptd;c:windowssystem32driverssptd.sys [07.03.2008 17:00 685816]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:windowssystem32driversklfltdev.sys [13.03.2008 17:02 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32driversklim5.sys [30.04.2008 16:06 24592]
S3 oflpydin;oflpydin;??c:docume~17212~1LOCALS~1Tempoflpydin.sys —> c:docume~17212~1LOCALS~1Tempoflpydin.sys [?]
S4 Cdinde;Cdinde; [x]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3Office12EXCEL.EXE/3000
IE: Добавить в Анти-Баннер — c:program filesKaspersky LabKaspersky Internet Security 2009ie_banner_deny.htm
FF — ProfilePath — c:documents and settingsЖенекApplication DataMozillaFirefoxProfilessvr597xg.default
FF — prefs.js: browser.search.selectedEngine — ICQ Search
FF — prefs.js: browser.startup.homepage — hxxp://www.yandex.ru/?clid=40795
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
c:program filesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.
— — — — ORPHANS REMOVED — — — —HKCU-Run-YandexOnline — c:program filesYandexOnlineonline.exe
HKCU-Run-Dr.Pc Puttes SpyPROTECTOR — c:program filesSoftware_pro_technologiesSpyProtectorSPYPROTECT.exe
HKLM-Run-NWEReboot — (no file)
HKLM-Run-Symantec PIF AlertEng — c:program filesCommon FilesSymantec SharedPIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}PIFSvc.exe
HKLM-Run-Dr.Pc Puttes SpyPROTECTOR — c:program filesSoftware_pro_technologiesSpyProtectorSPYPROTECT.exe
HKLM-Run-WMUAgent.exe — c:program filesWakeMeUpWMUAgent.exe
HKLM-Run-plugin — c:program filesplugin.exe
ActiveSetup-{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555} — c:program filesSoftware_pro_technologiesSpyProtectorSPSUS.exe
AddRemove-Mafia — c:program filesMafiaISSetup.exe
AddRemove-ShockwaveFlash — c:windowssystem32MacromedFlashFlashUtil9b.exe
AddRemove-VKSaver — c:program filesVKSaveruninstall.exe**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-23 09:37
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86D601E8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf7565fc3
DriverACPI -> ACPI.sys @ 0xf72c6cb8
Driveratapi -> 0x86d601e8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582544
ParseProcedure -> ntkrnlpa.exe @ 0x80581684
DeviceHarddisk0DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582544
ParseProcedure -> ntkrnlpa.exe @ 0x80581684
NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf718bbc3
PacketIndicateHandler -> NDIS.sys @ 0xf7197b21
SendHandler -> NDIS.sys @ 0xf718bd33
Warning: possible MBR rootkit infection !
user & kernel MBR OK**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(2596)
c:windowssystem32WININET.dll
.
Other Running Processes
.
c:program filesSymantecLiveUpdateALUSchedulerSvc.exe
c:windowssystem32nvsvc32.exe
c:program filesCommon FilesSymantec SharedCCPD-LCsymlcsvc.exe
c:program filesCommon FilesUlead SystemsDVDULCDRSvr.exe
c:windowssystem32wdfmgr.exe
c:windowsRTHDCPL.EXE
c:windowssystem32RUNDLL32.EXE
c:windowssystem32wscntfy.exe
c:program filesCommon FilesAheadLibNMIndexingService.exe
c:program filesCommon FilesAheadLibNMIndexStoreSvr.exe
.
**************************************************************************
.
Completion time: 2010-03-23 09:42:59 — machine was rebooted
ComboFix-quarantined-files.txt 2010-03-23 06:42Pre-Run: 15 918 923 776 байт свободно
Post-Run: 16 230 072 320 байт свободноWindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Home Edition RU» /noexecute=optin /fastdetect /usepmtimer— — End Of File — — CDE0DE6ED2DBD018E74EAF61EBC548D4
Здравствуйте, добро пожаловать на Spyware-ru форум.
Нужно ещё немного поработать.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:Driver::
oflpydin
Cdinde
MBR::Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Для ответа в этой теме необходимо авторизоваться.
