- This topic has 1 ответ, 2 участника, and was last updated 16 years назад by
.
-
Сообщения
-
Здравствуйте! Некоторое время назад, при подозрение на вирусы и шпионские модули просканил систему comfix’om (с HirenBootCD), и уже с месяц в корне диска висят его файлы, достали, никак не решу что с ними делать, вот лог проверки:
ComboFix 09-09-10.03 — Admin 12.09.2009 0:39.1.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.190.109 [GMT 4:00]
Running from: c:combofixComboFix.exe
Command switches used :: ComboFix.exe
AV: Антивирусная система Eset NOD32 2.70 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Look ‘n’ Stop 2.06p4 (Soft4Ever) *disabled* {2A530F53-4A99-4EE0-8471-4A00BA4A47B0}WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32ieuinit.inf
.
((((((((((((((((((((((((( Files Created from 2009-08-11 to 2009-09-11 )))))))))))))))))))))))))))))))
.2009-09-11 20:06 . 2009-09-11 20:06
d
w- c:documents and settingsAdminLocal SettingsApplication Datalooknstop
2009-09-11 20:03 . 2009-09-11 20:03 81408 —-a-w- c:windowssystem32driverslnsfw1.sys
2009-09-11 20:03 . 2009-09-11 20:03 57952 —-a-w- c:windowssystem32driverslnsfw.sys
2009-09-11 20:03 . 2009-09-11 20:03 36864 —-a-w- c:windowssystem32fwapi.dll
2009-09-01 18:45 . 2009-09-01 18:45
d
w- c:windowsDownloaded Installations
2009-08-26 00:12 . 2009-08-26 00:12 3072 —-a-w- c:windowsHook.dll
2009-08-22 16:48 . 2004-08-03 19:08 26496 —-a-w- c:windowssystem32dllcacheusbstor.sys
2009-08-21 22:46 . 2009-08-21 22:46
d
w- c:documents and settingsAll UsersApplication DataTEMP
2009-08-21 19:46 . 2009-08-21 19:46
d
w- C:Games
2009-08-19 00:06 . 1998-10-29 12:45 306688 —-a-w- c:windowsIsUninst.exe
2009-08-18 23:54 . 2009-08-18 23:54
d
w- c:program filesTCWorks
2009-08-18 23:54 . 2001-10-29 11:41 94208 —-a-w- c:windowssystem32TCPreset202.dll
2009-08-18 23:54 . 2001-10-19 10:40 438608 —-a-w- c:windowssystem32wmv8dmod.dll
2009-08-18 23:54 . 2001-10-19 10:40 665424 —-a-w- c:windowssystem32wmv8dmoe.dll
2009-08-18 23:54 . 2001-10-19 10:39 572752 —-a-w- c:windowssystem32wmvdmoe.dll
2009-08-18 23:54 . 2001-10-19 10:40 1683792 —-a-w- c:windowssystem32wmvcore2.dll
2009-08-18 23:54 . 2009-08-18 23:54
d
w- c:program filesdirectx
2009-08-18 23:53 . 2009-08-18 23:53
d
w- c:program filesCommon FilesAdobe
2009-08-16 20:44 . 2001-10-19 17:06 5632 —-a-w- c:windowssystem32ptpusb.dll
2009-08-16 20:44 . 2004-08-17 12:04 159232 —-a-w- c:windowssystem32ptpusd.dll
2009-08-16 20:44 . 2004-08-03 18:58 15104 —-a-w- c:windowssystem32driversusbscan.sys
2009-08-16 20:44 . 2004-08-03 18:58 15104 —-a-w- c:windowssystem32dllcacheusbscan.sys
2009-08-14 04:15 . 1999-11-10 08:05 86016 —-a-w- c:windowsunvise32qt.exe
2009-08-14 04:11 . 2009-08-14 04:11
d
w- c:windowssystem32QuickTime
2009-08-14 04:05 . 2009-08-14 04:05
d
w- c:documents and settingsAll UsersApplication DataQuickTime
2009-08-14 03:01 . 2009-08-14 03:01
d
w- c:documents and settingsAdminApplication DataXnView
2009-08-13 14:35 . 2009-08-13 14:35
d
w- c:documents and settingsAdminApplication DataImgBurn.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-11 19:30 . 2009-08-11 03:46 16768 —-a-w- c:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-09-08 20:30 . 2009-08-07 12:46 31 —-a-w- C:disconnect.bat
2009-08-11 02:54 . 2009-08-11 02:57 512096 —-a-w- c:windowssystem32driversamon.sys
2009-08-11 02:54 . 2009-08-11 02:57 298104 —-a-w- c:windowssystem32imon.dll
2009-08-11 02:54 . 2009-08-11 02:57 15424 —-a-w- c:windowssystem32driversnod32drv.sys
2009-08-09 19:04 . 2009-08-09 19:04
d
w- c:documents and settingsAdminApplication DataMedia Player Classic
2009-08-07 22:18 . 2009-08-07 22:18
d
w- c:documents and settingsAdminApplication Datafoobar2000
2009-08-07 10:51 . 2009-08-07 10:51
d
w- c:documents and settingsAdminApplication DataFTPRush
2009-08-07 10:43 . 2009-08-07 10:43 0 —-a-w- c:windowsnsreg.dat
2009-08-07 10:38 . 2009-08-07 10:38
d
w- c:documents and settingsAdminApplication DataFastStone
2009-08-07 10:32 . 2009-08-07 10:32
d
w- c:documents and settingsAll UsersApplication DataRemote Office Manager Files
2009-08-07 10:28 . 2009-08-07 10:28
d
w- c:documents and settingsAdminApplication DatauTorrent
2009-08-07 10:21 . 2009-08-07 10:21 33 —-a-w- c:windowssystem32driversadidsl.cfg
2009-08-07 10:21 . 2009-08-07 10:21
d
w- c:program filesHuawei Technologies
2009-08-07 10:21 . 2009-08-07 10:21
d—h—w- c:program filesInstallShield Installation Information
2009-08-07 10:21 . 2009-08-07 10:21
d
w- c:program filesCommon FilesInstallShield
2009-08-07 01:46 . 2003-08-17 20:00 49552 —-a-w- c:windowssystem32perfc019.dat
2009-08-07 01:46 . 2003-08-17 20:00 346452 —-a-w- c:windowssystem32perfh019.dat
2009-08-06 21:25 . 2009-08-06 21:25
d
w- c:program filesmicrosoft frontpage
2009-08-06 21:17 . 2009-08-06 21:17 22564 —-a-w- c:windowssystem32emptyregdb.dat
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«nod32kui»=»c:programsEsetnod32kui.exe» [2009-08-11 949376]
«QuickTime Task»=»c:programsQuickTimeqttask.exe» [2009-08-14 98304]
«Look ‘n’ Stop»=»c:programslooknstoplooknstop.exe» [2009-09-11 565088]
«C-Media Mixer»=»Mixer.exe» — c:windowsmixer.exe [2002-06-12 1495040][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-17 15360]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BORGChat.lnk — c:programsBORGChatBORGChat.exe [2009-8-7 1041920]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
DSLMON.lnk — c:program filesHuawei TechnologiesHuawei SmartAX MT810dslmon.exe [2009-8-7 946271]
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-8-19 113664][HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Programs\uTorrent\uTorrent.exe»=
«c:\Programs\BORGChat\BORGChat.exe»=
«c:\Programs\QIP\qip.exe»=
«c:\WINDOWS\System32\dplaysvr.exe»=
«c:\Games\Stronghold Crusader\Stronghold Crusader.exe»=
«c:\Programs\eMule\emule.exe»=
«c:\Games\Age of Empires II\Age2_X1\age2_x1.Exe»=R0 d346bus;d346bus;c:windowssystem32driversd346bus.sys [12.08.2009 6:01 156800]
R0 d346prt;d346prt;c:windowssystem32driversd346prt.sys [12.08.2009 6:01 5248]
R1 lnsfw1;lnsfw1;c:windowssystem32driverslnsfw1.sys [12.09.2009 0:03 81408]
R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [11.08.2009 6:57 15424]— Other Services/Drivers In Memory —
*NewlyCreated* — LNSFW1
.
.
Supplementary Scan
.
LSP: c:windowssystem32imon.dll
TCP: {85C70976-97B8-4A4F-9A0C-EE253F61FA32} = 10.1.1.2
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfiles5d2b7zrj.default
FF — prefs.js: browser.search.selectedEngine — Google
FF — prefs.js: browser.startup.homepage — hxxp://www.google.ru/firefox
FF — plugin: c:programsQuickTimePluginsnpqtplugin.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin2.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin3.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin4.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin5.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin6.dll
FF — plugin: c:programsQuickTimePluginsnpqtplugin7.dll
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-12 00:51
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2009-09-11 0:54
ComboFix-quarantined-files.txt 2009-09-11 20:54Pre-Run: 15 419 211 776 байт свободно
Post-Run: 15 405 465 600 байт свободно129
особенно напрягает файл C:QooboxQuarantineRegistry_backupstcpip.reg, походу связанный толи с бекапом, толи с изменениями в реестре, ничего лишнего combofix не намутил? (содержание)
REGEDIT4
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparameters]
«NV Hostname»=»namexxx»
«DataBasePath»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,
33,32,5c,64,72,69,76,65,72,73,5c,65,74,63,00
«NameServer»=»»
«ForwardBroadcasts»=dword:00000000
«IPEnableRouter»=dword:00000000
«Domain»=»»
«Hostname»=»namexxx»
«SearchList»=»»
«UseDomainNameDevolution»=dword:00000001
«EnableICMPRedirect»=dword:00000001
«DeadGWDetectDefault»=dword:00000001
«DontAddDefaultGatewayDefault»=dword:00000000
«EnableSecurityFilters»=dword:00000000
«TcpWindowSize»=dword:0000ffff[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersAdapters]
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersAdaptersNdisWanIp]
«LLInterface»=»WANARP»
«IpConfig»=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,
65,72,66,61,63,65,73,5c,7b,39,32,44,35,46,39,38,45,2d,35,33,35,46,2d,34,45,
37,35,2d,41,38,32,31,2d,41,31,39,30,34,38,39,41,43,36,41,44,7d,00,54,63,70,
69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,65,72,66,61,63,65,73,5c,
7b,36,33,31,35,45,36,41,46,2d,41,42,30,34,2d,34,43,34,33,2d,39,35,46,41,2d,
38,45,39,30,42,34,42,41,44,38,46,34,7d,00,54,63,70,69,70,5c,50,61,72,61,6d,
65,74,65,72,73,5c,49,6e,74,65,72,66,61,63,65,73,5c,7b,43,45,38,46,42,41,45,
38,2d,46,44,37,32,2d,34,33,42,36,2d,41,31,34,36,2d,37,38,46,32,30,35,46,45,
37,41,41,36,7d,00,54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,
74,65,72,66,61,63,65,73,5c,7b,34,45,41,30,45,39,33,46,2d,33,34,44,39,2d,34,
39,43,31,2d,38,43,41,42,2d,37,37,35,36,44,35,39,31,36,37,32,33,7d,00,00
«NumInterfaces»=dword:00000004
«IpInterfaces»=hex:8e,f9,d5,92,5f,53,75,4e,a8,21,a1,90,48,9a,c6,ad,af,e6,15,63,
04,ab,43,4c,95,fa,8e,90,b4,ba,d8,f4,e8,ba,8f,ce,72,fd,b6,43,a1,46,78,f2,05,
fe,7a,a6,3f,e9,a0,4e,d9,34,c1,49,8c,ab,77,56,d5,91,67,23[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersAdapters{85C70976-97B8-4A4F-9A0C-EE253F61FA32}]
«LLInterface»=»»
«IpConfig»=hex(7):54,63,70,69,70,5c,50,61,72,61,6d,65,74,65,72,73,5c,49,6e,74,
65,72,66,61,63,65,73,5c,7b,38,35,43,37,30,39,37,36,2d,39,37,42,38,2d,34,41,
34,46,2d,39,41,30,43,2d,45,45,32,35,33,46,36,31,46,41,33,32,7d,00,00[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersDNSRegisteredAdapters]
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces]
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces{4EA0E93F-34D9-49C1-8CAB-7756D5916723}]
«UseZeroBroadcast»=dword:00000000
«EnableDHCP»=dword:00000000
«IPAddress»=hex(7):30,2e,30,2e,30,2e,30,00,00
«SubnetMask»=hex(7):30,2e,30,2e,30,2e,30,00,00
«DefaultGateway»=hex(7):00
«EnableDeadGWDetect»=dword:00000001
«DontAddDefaultGateway»=dword:00000000
«NTEContextList»=hex(7):00
«DhcpIPAddress»=»0.0.0.0»
«DhcpSubnetMask»=»0.0.0.0»
«Domain»=»»
«NameServer»=»»
«DhcpClassIdBin»=hex:
«RegistrationEnabled»=dword:00000000
«RegisterAdapterName»=dword:00000000[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces{6315E6AF-AB04-4C43-95FA-8E90B4BAD8F4}]
«UseZeroBroadcast»=dword:00000000
«EnableDHCP»=dword:00000000
«IPAddress»=hex(7):30,2e,30,2e,30,2e,30,00,00
«SubnetMask»=hex(7):30,2e,30,2e,30,2e,30,00,00
«DefaultGateway»=hex(7):00
«EnableDeadGWDetect»=dword:00000001
«DontAddDefaultGateway»=dword:00000000
«NTEContextList»=hex(7):00
«DhcpIPAddress»=»0.0.0.0»
«DhcpSubnetMask»=»0.0.0.0»
«Domain»=»»
«NameServer»=»»
«DhcpClassIdBin»=hex:
«RegistrationEnabled»=dword:00000000
«RegisterAdapterName»=dword:00000000[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces{85C70976-97B8-4A4F-9A0C-EE253F61FA32}]
«UseZeroBroadcast»=dword:00000000
«EnableDeadGWDetect»=dword:00000001
«EnableDHCP»=dword:00000000
«IPAddress»=hex(7):31,30,2e,31,2e,31,2e,31,00,00
«SubnetMask»=hex(7):32,35,35,2e,32,35,35,2e,32,35,35,2e,30,00,00
«DefaultGateway»=hex(7):31,30,2e,31,2e,31,2e,32,00,00
«DefaultGatewayMetric»=hex(7):30,00,00
«NameServer»=»10.1.1.2»
«Domain»=»»
«RegistrationEnabled»=dword:00000001
«RegisterAdapterName»=dword:00000000
«TCPAllowedPorts»=hex(7):30,00,00
«UDPAllowedPorts»=hex(7):30,00,00
«RawIPAllowedProtocols»=hex(7):30,00,00
«NTEContextList»=hex(7):30,78,30,30,30,30,30,30,30,32,00,00
«DhcpClassIdBin»=hex:
«DhcpServer»=»255.255.255.255»
«Lease»=dword:00000e10
«LeaseObtainedTime»=dword:4a7bfc94
«T1″=dword:4a7c039c
«T2″=dword:4a7c08e2
«LeaseTerminatesTime»=dword:4a7c0aa4
«IPAutoconfigurationAddress»=»0.0.0.0»
«IPAutoconfigurationMask»=»255.255.0.0»
«IPAutoconfigurationSeed»=dword:00000000
«AddressType»=dword:00000000[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces{92D5F98E-535F-4E75-A821-A190489AC6AD}]
«UseZeroBroadcast»=dword:00000000
«EnableDHCP»=dword:00000000
«IPAddress»=hex(7):30,2e,30,2e,30,2e,30,00,00
«SubnetMask»=hex(7):30,2e,30,2e,30,2e,30,00,00
«DefaultGateway»=hex(7):00
«EnableDeadGWDetect»=dword:00000001
«DontAddDefaultGateway»=dword:00000000[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersInterfaces{CE8FBAE8-FD72-43B6-A146-78F205FE7AA6}]
«UseZeroBroadcast»=dword:00000000
«EnableDHCP»=dword:00000000
«IPAddress»=hex(7):30,2e,30,2e,30,2e,30,00,00
«SubnetMask»=hex(7):30,2e,30,2e,30,2e,30,00,00
«DefaultGateway»=hex(7):00
«EnableDeadGWDetect»=dword:00000001
«DontAddDefaultGateway»=dword:00000000[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersPersistentRoutes]
[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicestcpipparametersWinsock]
«UseDelayedAcceptance»=dword:00000000
«HelperDllName»=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,
6d,33,32,5c,77,73,68,74,63,70,69,70,2e,64,6c,6c,00
«MaxSockAddrLength»=dword:00000010
«MinSockAddrLength»=dword:00000010
«Mapping»=hex:0b,00,00,00,03,00,00,00,02,00,00,00,01,00,00,00,06,00,00,00,02,
00,00,00,01,00,00,00,00,00,00,00,02,00,00,00,00,00,00,00,06,00,00,00,00,00,
00,00,00,00,00,00,06,00,00,00,00,00,00,00,01,00,00,00,06,00,00,00,02,00,00,
00,02,00,00,00,11,00,00,00,02,00,00,00,02,00,00,00,00,00,00,00,02,00,00,00,
00,00,00,00,11,00,00,00,00,00,00,00,00,00,00,00,11,00,00,00,00,00,00,00,02,
00,00,00,11,00,00,00,02,00,00,00,03,00,00,00,00,00,00,00Здравствуйте, добро пожаловать на Spyware-ru форум.
особенно напрягает файл C:QooboxQuarantineRegistry_backupstcpip.reg, походу связанный толи с бекапом, толи с изменениями в реестре, ничего лишнего combofix не намутил? (содержание)
Судя по всему, несколько значений реестра были изменены какими-то программами. Combofix восстановил значения по-умолчанию.
Чтобы удалить все папки и файлы что создал Combofix, вам нужно выполнить процедуру удаления программы, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
- Для ответа в этой теме необходимо авторизоваться.
