Не запускается Explorer и творится УЖАС-УЖАС!

[Landira]

Помогите, пожалуйста!
Видимо принесли зараженную флешку. Заподозрила неладное, когда началось постоянное обращение к диску А:
Не запускается Explorer. Все время дребезжит дисковод. Когда вставляю свою флешку, на ней появляются 2 файла autorun.inf и autorun.exe скрытые. DrWeb при этом кричит следующее:
«I:autorun.inf — инфицирован Win32.HLLW.Autoruner.6317
I:autorun.inf — инфицирован Win32.HLLW.Autoruner.6526″

И вообще система ужасно тормозит…

Помогите, пожалуйста… Пока ничего не помогает… Как будто этот вирус новый и уже все старые методы не действуют :(((

Logfile of random’s system information tool 1.06 (written by random/random)
Run by Vitaliy&Daria at 2009-11-25 04:11:05
Microsoft Windows XP Home Edition Service Pack 2
System drive C: has 33 GB (67%) free of 50 GB
Total RAM: 3071 MB (80% free)

======Scheduled tasks folder======

C:WINDOWStasksDr.Web Daily scan.job
C:WINDOWStasksDr.Web Update.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}]
Megaupload Toolbar — C:PROGRA~1MEGAUP~1MEGAUP~1.DLL [2007-07-31 1933256]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{638E9359-625E-4E8A-AA5B-824654C3239B}]
Realtime Video Provider — C:Documents and SettingsAll UsersApplication Dataphnlib.dll []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} — Megaupload Toolbar — C:PROGRA~1MEGAUP~1MEGAUP~1.DLL [2007-07-31 1933256]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«ATIPTA»=C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe [2005-08-30 344064]
«Ярлык для страницы свойств High Definition Audio»=C:WINDOWSsystem32HDAShCut.exe [2005-01-07 61952]
«COMODO Firewall Pro»=C:Program FilesComodoFirewallCPF.exe [2008-03-19 1115728]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-07-27 7975608]
«OSSelectorReinstall»=C:Program FilesCommon FilesAcronisAcronis Disk Directoross_reinstall.exe [2006-04-12 1275413]
«LVCOMSX»=C:WINDOWSsystem32LVCOMSX.EXE [2005-12-09 225280]
«LogitechCameraAssistant»=C:Program FilesLogitechVideoCameraAssistant.exe [2005-12-07 489472]
«LogitechVideo[inspector]»=C:Program FilesLogitechVideoInstallHelper.exe [2005-12-07 73728]
«LogitechCameraService(E)»=C:WINDOWSsystem32ElkCtrl.exe [2004-11-01 262144]
«OpwareSE2″=C:Program FilesScanSoftOmniPageSE2.0OpwareSE2.exe [2003-05-08 49152]
«CRBroadCasting»=C:Program FilesCardReader2.0CRBroadCasting.exe [2004-02-26 24576]
«WheelMouse»=C:Program FilesA4TechMouseAmoumain.exe [2006-12-26 196608]
«Lingvo Launcher»=C:Program FilesABBYY Lingvo 8.0Lvagent.exe [2002-10-02 102400]
«SpIDerAgent»=D:DrWebSpIDerAgent.exe [2009-11-18 447728]
«SpIDerMail»=D:DrWebspiderml.exe [2009-06-30 644336]
«SpIDerNT»=D:DrWebspiderui.exe [2009-09-03 231840]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=C:Program FilesPunto Switcherps.exe [2008-05-30 722112]
«ctfmon.exe»=C:WINDOWSsystem32ctfmon.exe [2004-08-18 15360]
«H/PC Connection Agent»=C:Program FilesMicrosoft ActiveSyncwcescomm.exe [2006-11-13 1289000]

C:Documents and SettingsVitaliy&DariaГлавное менюПрограммыАвтозагрузка
NumLock Calculator 3.2.lnk — E:ПрогиNumLock CalculatorNLCalc.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=» xmhavv.dll»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2005-08-31 46080]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoDriveAutoRun»=FFFFFFFF

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:WINDOWSsystem32edruj.exe»=»C:WINDOWSsystem32edruj.exe:*:Enabled:ENABLE»
«C:Documents and SettingsVitaliy&Dariaupxduac.exe»=»C:Documents and SettingsVitaliy&Dariaupxduac.exe:*:Enabled:ENABLE»
«C:Program FilesMicrosoft ActiveSyncrapimgr.exe»=»C:Program FilesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager»
«C:Program FilesMicrosoft ActiveSyncwcescomm.exe»=»C:Program FilesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager»
«C:Program FilesMicrosoft ActiveSyncWCESMgr.exe»=»C:Program FilesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application»
«C:Program FilesICQ6.5ICQ.exe»=»C:Program FilesICQ6.5ICQ.exe:*:Enabled:ICQ6»
«C:Program FilesSkypePhoneSkype.exe»=»C:Program FilesSkypePhoneSkype.exe:*:Enabled:Skype»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:Program FilesMicrosoft ActiveSyncrapimgr.exe»=»C:Program FilesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager»
«C:Program FilesMicrosoft ActiveSyncwcescomm.exe»=»C:Program FilesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager»
«C:Program FilesMicrosoft ActiveSyncWCESMgr.exe»=»C:Program FilesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application»

======File associations======

.scr — open — «C:WINDOWSsystem32NOTEPAD.EXE» «%1»
.scr — install —
.scr — config —

======List of files/folders created in the last 1 months======

2009-11-25 04:09:42 —-D—- C:Program Filestrend micro
2009-11-25 04:09:41 —-D—- C:rsit
2009-11-25 03:29:31 —-RASHD—- C:autorun.inf
2009-11-24 23:59:27 —-A—- C:WINDOWSsystem32msvcrt57.dll
2009-11-24 23:58:54 —-D—- C:Program FilesMicrosoft Common
2009-11-13 00:21:00 —-D—- C:Program FilesСказочные блюда с кулинаром Вкусняшкиным
2009-11-05 02:02:03 —-D—- C:Program FilesThe Bat!

======List of files/folders modified in the last 1 months======

2009-11-25 04:09:42 —-RD—- C:Program Files
2009-11-25 04:05:09 —-D—- C:Documents and SettingsVitaliy&DariaApplication DataThe Bat!
2009-11-25 03:57:47 —-D—- C:WINDOWSTemp
2009-11-25 03:56:21 —-D—- C:Documents and SettingsVitaliy&DariaApplication DataXnView
2009-11-25 03:51:03 —-D—- C:WINDOWSsystem32CatRoot2
2009-11-25 03:46:47 —-A—- C:WINDOWSntbtlog.txt
2009-11-25 03:44:29 —-A—- C:WINDOWSSchedLgU.Txt
2009-11-25 03:01:29 —-SHD—- C:WINDOWSInstaller
2009-11-25 03:01:26 —-D—- C:Program FilesOpera
2009-11-25 02:39:48 —-D—- C:WINDOWSsystem32
2009-11-25 02:39:48 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-11-25 02:38:07 —-D—- C:WINDOWS
2009-11-25 02:28:05 —-D—- C:WINDOWSPrefetch
2009-11-25 02:17:27 —-AD—- C:Documents and SettingsAll UsersApplication DataTEMP
2009-11-25 00:47:22 —-D—- C:WINDOWSsystem32drivers
2009-11-05 21:11:51 —-A—- C:Documents and SettingsVitaliy&DariaApplication Dataex_log.txt
2009-11-05 03:58:29 —-D—- C:GDVDImages
2009-11-05 03:03:19 —-D—- C:Program FilesnLite

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 CmdMon;Comodo Application Engine; C:WINDOWSSystem32DRIVERScmdmon.sys [2008-03-19 75520]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2004-08-18 40448]
R1 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2004-08-18 12032]
R2 ASTRA32;ASTRA32 Kernel Driver 5.2.1.0; ??C:Program FilesASTRA32ASTRA32.sys []
R2 SPIDER;SpIDer Guard File System Monitor; ??D:DrWebspider.sys []
R3 Afc;PPdus ASPI Shell; C:WINDOWSsystem32driversAfc.sys [2005-02-23 11776]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver; C:WINDOWSsystem32DRIVERSAmps2prt.sys [2006-05-09 13824]
R3 Arp1394;Протокол клиента 1394 ARP; C:WINDOWSsystem32DRIVERSarp1394.sys [2004-08-18 60800]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2005-08-31 1333760]
R3 cmudax;C-Media High Definition Audio Interface; C:WINDOWSsystem32driverscmudax.sys [2005-05-11 1287296]
R3 GEARAspiWDM;GEAR CDRom Filter; C:WINDOWSSYSTEM32DRIVERSGEARAspiWDM.sys [2004-03-23 14384]
R3 HDAudBus;Драйвер шины Microsoft UAA для High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2005-01-07 138752]
R3 LVPrcMon;Logitech LVPrcMon Driver; ??C:WINDOWSsystem32driversLVPrcMon.sys []
R3 LVUSBSta;Logitech USB Monitor Filter; C:WINDOWSsystem32driverslvusbsta.sys [2005-12-06 39424]
R3 NIC1394;Сетевой драйвер 1394; C:WINDOWSsystem32DRIVERSnic1394.sys [2004-08-18 61824]
R3 PID_0928;Logitech QuickCam Express(PID_0928); C:WINDOWSsystem32DRIVERSLV561AV.SYS [2005-12-06 287360]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2004-08-03 26624]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2004-08-03 57600]
R3 usbstor;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-18 26496]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2004-08-03 20480]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:WINDOWSsystem32DRIVERSyk51x86.sys [2004-10-27 223104]
S3 CCDECODE;Closed Caption декодер; C:WINDOWSsystem32DRIVERSCCDECODE.sys [2004-08-03 17024]
S3 HdAudAddService;Драйвер функции Microsoft UAA для службы High Definition Audio; C:WINDOWSsystem32driversHdAudio.sys [2005-01-07 145920]
S3 Lvckap;Logitech Kernel Audio Processing Filter Driver; ??C:WINDOWSsystem32driversLvckap.sys []
S3 lvmvdrv;Logitech Machine Vision Engine Loader; ??C:WINDOWSsystem32driverslvmvdrv.sys []
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:WINDOWSsystem32driversMSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI кодек; C:WINDOWSsystem32DRIVERSNABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft видео или ТВ подключение; C:WINDOWSsystem32DRIVERSNdisIP.sys [2004-08-03 10880]
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversccdcmb.sys [2008-05-07 17536]
S3 PAC7302;PAC7302 VGA USB Camera; C:WINDOWSsystem32DRIVERSPAC7302.SYS []
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:WINDOWSsystem32DRIVERSpccsmcfd.sys [2007-09-17 21632]
S3 REMOVE;REMOVE; ??C:WINDOWSsystem32driversREMOVE.SYS []
S3 SLIP;BDA Slip De-Framer; C:WINDOWSsystem32DRIVERSSLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:WINDOWSsystem32DRIVERSStreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS;Arris Remote NDIS Network Device Driver; C:WINDOWSsystem32DRIVERSusb8023.sys [2005-10-21 12800]
S3 usb_rndisx;USB RNDIS Adapter; C:WINDOWSsystem32DRIVERSusb8023x.sys [2005-10-21 12800]
S3 usbaudio;Аудио драйвер USB (WDM); C:WINDOWSsystem32driversusbaudio.sys [2004-08-03 59264]
S3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2004-08-03 31616]
S3 usbprint;Класс принтеров Microsoft USB; C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]
S3 wceusbsh;Windows CE USB Serial Host Driver; C:WINDOWSsystem32DRIVERSwceusbsh.sys [2006-11-06 28672]
S3 Wdf01000;Wdf01000; C:WINDOWSsystem32DRIVERSWdf01000.sys [2006-11-02 492000]
S3 WSTCODEC;World Standard Teletext кодек; C:WINDOWSsystem32DRIVERSWSTCODEC.SYS [2004-08-03 19328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 CmdAgent;Comodo Application Agent; C:Program FilesComodoFirewallcmdagent.exe [2008-03-19 361040]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine); C:Program FilesCommon FilesDoctor WebScanning Enginedwengine.exe [2009-09-29 869688]
R2 LVPrcSrv;Logitech Process Monitor; c:program filescommon fileslogitechlvmvfmLVPrcSrv.exe [2005-12-09 81920]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-19 322120]
R2 OTi Card Reader Service;OTi Card Reader Service; C:Program FilesCardReader2.0OTiReader.exe [2004-03-04 131177]
R2 SPIDERNT;SpIDer Guard for Windows; D:DrWebspidernt.exe [2009-09-03 231328]
R2 UMWdf;Windows User Mode Driver Framework; C:WINDOWSsystem32wdfmgr.exe [2005-01-28 38912]
R2 WMDM PMSP Service;WMDM PMSP Service; C:WINDOWSsystem32MsPMSPSv.exe [2001-05-01 53248]
S2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2005-08-31 376832]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2005-08-30 516096]
S2 GEARSecurity;GEARSecurity; C:WINDOWSSYSTEM32GEARSEC.EXE [2003-11-25 53248]
S2 RoxLiveShare9;LiveShare P2P Server 9; C:Program FilesCommon FilesRoxio Shared9.0SharedCOMRoxLiveShare9.exe []
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2008-07-25 34312]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe [2008-08-14 85096]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:WINDOWSMicrosoft.NETFrameworkv3.0WPFPresentationFontCache.exe [2008-07-29 46104]
S3 gusvc;Google Updater Service; C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe [2007-01-04 136120]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver1050Intel 32IDriverT.exe [2004-10-22 73728]
S3 idsvc;Windows CardSpace; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2008-08-07 575488]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2008-07-29 132096]

---

EOF

---

info.txt logfile of random’s system information tool 1.06 2009-11-25 04:09:55

======Uninstall list======

##CAMERADRIVERNAME##—>»C:Program FilesCommon FilesLogitechQCDRVBINSETUP.EXE» UNINSTALL REMOVEPROMPT
—>C:Program FilesDivXDivXConverterUninstall.exe /CONVERTER
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
ABBYY Lingvo 8.0 English-Russian Edition—>MsiExec.exe /I{E87E8336-6DF9-4906-B1B2-61F53588D2C5}
Acronis Disk Director Suite—>MsiExec.exe /X{2300EE96-0A41-4FAB-BD03-989EC44577A0}
Adobe Acrobat 5.0—>C:WINDOWSISUNINST.EXE -f»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.isu» -c»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.dll»
Adobe Flash Player 10 Plugin—>C:WINDOWSsystem32MacromedFlashuninstall_plugin.exe
Adobe Flash Player ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Reader 8 — Russian—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A81200000003}
Advanced PDF Password Recovery Pro (remove only)—>C:Program FilesElcomSoftAPDFPRPuninstall.exe
Alcohol 120%—>MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
ArcSoft PhotoStudio 5.5—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{85309D89-7BE9-4094-BB17-24999C6118FC}Setup.exe» -l0x9
ASTRA32 — Advanced System Information Tool 1.55—>»C:Program FilesASTRA32unins000.exe»
ATI — Software Uninstall Utility—>C:Program FilesATI TechnologiesUninstallAllAtiCimUn.exe
ATI Control Panel—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{0BEDBD4E-2D34-47B5-9973-57E62B29307C}setup.exe»
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AutoCAD 2007 — English—>MsiExec.exe /I{5783F2D7-5001-0409-0002-0060B0CE6BBA}
AutoCAD 2009 — English—>C:Program FilesAutoCAD 2009SetupSetup.exe /P {5783F2D7-7001-0409-0002-0060B0CE6BBA} /M ACAD
Autodesk DWF Viewer—>C:PROGRA~1AutodeskAUTODE~1Setup.exe /remove /q0
Butterfly—>»C:Program FilesButterflyunins000.exe»
Canon Camera Support Core Library—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{26BDE7D8-93F0-4A07-AD47-1707DB417941} /l1033
Canon Camera Window for ZoomBrowser EX—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{B34BE30D-A759-4EC2-B58F-19FE2DEBF651}
Canon CanoScan Toolbox 4.9—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{CA9BCD4D-B782-4637-8F1F-F9A328D3C244}setup.exe» -l0x19 anything
Canon PhotoRecord—>MsiExec.exe /X{862983D7-FA08-493E-A9ED-6B7859E069D3}
Canon RAW Image Task for ZoomBrowser EX—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{16976C6C-F8D5-4317-9DE8-1F6352B66725}
Canon RemoteCapture Task for ZoomBrowser EX—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{821DC151-4691-4E26-AE7E-522921D0FD54}
Canon ScanGear Starter—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{18A5DFF2-8A95-49F3-873F-743CB5549F3D}SETUP.EXE» -l0x19 anything
Canon Utilities CP Printer Guide—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{07A7AC6A-1BA9-44EA-8197-AE2890BF7176}
Canon Utilities PhotoStitch 3.1—>C:Program FilesCommon FilesInstallShieldDriver8Intel 32IDriver.exe /M{EF4C7EB0-D71B-43A3-9552-8053DE4B0401}
Canon Utilities ZoomBrowser EX—>MsiExec.exe /X{C1D76D7A-F3BB-47EA-A746-5B1E2FFC1DF2}
City Guide 2.2—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime91Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{AA644D57-1863-4080-A57E-A3C403F2969C}setup.exe» -l0x9
C-Media High Definition Audio Driver—>C:WINDOWSsystem32cmirmdrv.exe
COMODO Firewall Pro—>C:Program FilesComodoFirewallfwconfig.exe -uninstalln
Compatibility Pack for the 2007 Office system—>MsiExec.exe /X{90120000-0020-0409-0000-0000000FF1CE}
Creative DVD Audio Plugin for Audigy Series—>»C:Program FilesCreativeCTDPluginCTUIDVD.exe » -u
DivX Codec—>C:Program FilesDivXDivXCodecUninstall.exe /CODEC
DivX Converter—>C:Program FilesDivXDivXConverterUninstall.exe /CONVERTER
DivX Player—>C:Program FilesDivXDivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters—>C:Program FilesDivXDivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player—>C:Program FilesDivXDivXWebPlayerUninstall.exe /PLUGIN
DjVu Solo 3.1—>C:WINDOWSIsUninst.exe -f»C:Program FilesLizardTechDjVu Solo 3.1Uninst.isu»
doPDF 6.1 printer—>»C:Program FilesSoftlanddoPDF 6unins000.exe»
Dr.Web anti-virus for Windows 5.0—>MsiExec.exe /I{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}
GEAR PRO «Mastering Edition» 6.05—>C:WINDOWSIsUninst.exe -f»C:Program FilesGEAR SOFTWAREGEAR PRO — Mastering EditionDeIsL1.isu» -c»C:Program FilesGEAR SOFTWAREGEAR PRO — Mastering EditionUNINSTALLUninstWDM.dll»
Google Gmail Notifier—>»C:Program FilesGoogleGmail NotifierUninstallGmail.exe»
Haali Reader CE 2.0 (remove only)—>»C:Program FilesHaaliHaali Reader CEuninstall.exe»
High Definition Audio — KB888111—>»C:WINDOWS$NtUninstallKB888111WXPSP2$spuninstspuninst.exe»
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)—>C:WINDOWSsystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=»»
Hotfix for Windows XP (KB909394)—>»C:WINDOWS$NtUninstallKB909394$spuninstspuninst.exe»
HP iPAQ Setup Assistant v1.3.11.0—>C:Program FilesHPHP iPAQ Setup AssistantUninst.exe
ICQ6.5—>»C:Program FilesInstallShield Installation Information{60DE4033-9503-48D1-A483-7846BD217CA9}setup.exe» -runfromtemp -l0x0009 -removeonly
inDev Software Spider v1.17 — SyMBiAN—>C:Program FilesMicrosoft ActiveSyncinDev Software Spider v1.17 — SyMBiANUninstall.exe inDev Software Spider v1.17 — SyMBiAN
InterActual Player—>C:Program FilesInterActualInterActual Playerinuninst.exe
InterVideo WinDVD 6—>»C:Program FilesInstallShield Installation Information{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}setup.exe» REMOVEALL
Lizardtech DjVu Control—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{105CFC7C-6992-11D5-BD9D-000102C10FD8}Setup.exe» -l0x9
Logitech QuickCam Software—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime91Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{C191BE7C-8542-4A61-973A-714EF76C5995}setup.exe» -l0x9
Macromedia Flash Player 8—>RunDll32 advpack.dll,LaunchINFSection C:WINDOWSINFswflash.inf,DefaultUninstall,5
Mail.Ru Агент 5.5 (сборка 2842, для всех пользователей)—>C:Program FilesMail.RuAgentmagentsetup.exe -uninstalllm
Manual CanoScan LiDE 60—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{23B72D50-1C7E-491C-8086-9E060051D316}setup.exe» -l0x19
Marvell Miniport Driver—>MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
Mastersoft Mobile Solutions iTRIS—>»C:WINDOWSepsuninst.exe» «C:Program FilesiTRISuninst.dat»
MathType 5—>»C:Program FilesMathTypeSetup.exe» -R
Megaupload Toolbar—>C:Program FilesMegauploadToolbaruninstall.exe
Microsoft .NET Framework 2.0 Service Pack 2—>MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2—>MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 SP1—>C:WINDOWSMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 SP1setup.exe
Microsoft .NET Framework 3.5 SP1—>MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft ActiveSync—>MsiExec.exe /I{99052DB7-9592-4522-A558-5417BBAD48EE}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5—>»C:WINDOWS$NtUninstallWdf01005$spuninstspuninst.exe»
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Office Visio Professional 2003—>MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Miranda IM Neon by Carleone Miranda IM Neon by Carleone—>C:Program FilesMiranda IM Neon by CarleoneUninstall.exe
MSVC80_x86—>MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSXML 6.0 Parser (KB925673)—>MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
My Cookery Book 5.02—>C:Program FilesMy Cookery BookUninstall.exe
NevoSoft 4 Elements (remove only)—>»C:Program FilesИгры от NevoSoft4 Elementsuninstall.exe»
NevoSoft BeetleJu 3 (remove only)—>»C:Program FilesИгры от NevoSoftBeetleJu 3uninstall.exe»
NevoSoft Cassandra Journey (remove only)—>»C:Program FilesИгры от NevoSoftCassandra Journeyuninstall.exe»
NevoSoft Dolina mechty (remove only)—>»C:Program FilesИгры от NevoSoftDolina mechtyuninstall.exe»
NevoSoft Dreams (remove only)—>»C:Program FilesИгры от NevoSoftDreamsuninstall.exe»
NevoSoft Farm Frenzy Pizza Party (remove only)—>»C:Program FilesИгры от NevoSoftFarm Frenzy Pizza Partyuninstall.exe»
NevoSoft Fashion Craze (remove only)—>»C:Program FilesИгры от NevoSoftFashion Crazeuninstall.exe»
NevoSoft Ice Cream Mania (remove only)—>»C:Program FilesИгры от NevoSoftIce Cream Maniauninstall.exe»
NevoSoft Mushroom Age (remove only)—>»C:Program FilesИгры от NevoSoftMushroom Ageuninstall.exe»
NevoSoft Mystery Island (remove only)—>»C:Program FilesИгры от NevoSoftMystery Islanduninstall.exe»
NevoSoft Posh Shop 2 (remove only)—>»C:Program FilesИгры от NevoSoftPosh Shop 2uninstall.exe»
NevoSoft Sea Journey (remove only)—>»C:Program FilesИгры от NevoSoftSea Journeyuninstall.exe»
NevoSoft StandOFood2 (remove only)—>»C:Program FilesИгры от NevoSoftStandOFood2uninstall.exe»
NevoSoft Stolen Venus (remove only)—>»C:Program FilesИгры от NevoSoftStolen Venusuninstall.exe»
NevoSoft Tibet Quest (remove only)—>»C:Program FilesИгры от NevoSoftTibet Questuninstall.exe»
NevoSoft Wonderburg (remove only)—>»C:Program FilesИгры от NevoSoftWonderburguninstall.exe»
NevoSoft Yumsters 2 (remove only)—>»C:Program FilesИгры от NevoSoftYumsters 2uninstall.exe»
nLite 1.4.9.1—>»C:Program FilesnLiteunins000.exe»
Nokia Connectivity Cable Driver—>MsiExec.exe /X{C3F19A5F-35A8-4FDB-A6ED-0F4CE398DA48}
Nokia PC Suite—>C:Documents and SettingsAll UsersApplication DataInstallations{A8C3710A-0BCA-4F10-9EC3-A302A1F1FA82}Nokia_PC_Suite_rel_7_0_8_2_rus_web.exe
Nokia PC Suite—>MsiExec.exe /I{A8C3710A-0BCA-4F10-9EC3-A302A1F1FA82}
OmniPage SE 2.0—>MsiExec.exe /I{79D5997E-BF79-48BB-8B41-9BE59C15C2D7}
Opera 10.00—>MsiExec.exe /X{FC66E05E-8D39-47A6-8D07-759F33727EB0}
OTiCardReader —>C:Program FilesCardReader2.0AdvDrvIns.exe -u «C:Program FilesCardReader2.0»
PC Connectivity Solution—>MsiExec.exe /I{1A524CFE-DF85-4555-8BC2-0C89DBD8BC2C}
Photo Frames CS 2.3—>»C:Program FilesPhoto Frames CSunins000.exe»
Picasa 2—>»C:Program FilesPicasa2Uninstall.exe»
PocketSnake—>C:Program FilesMicrosoft ActiveSyncPocketSnakeUninstall.exe PocketSnake
Punto Switcher 2.96—>C:Program FilesPunto Switcheruninstall.exe
Recipes 0.6—>»C:Program FilesRecipesunins000.exe»
RegSupreme Pro—>»C:Program FilesRegSupreme Prounins000.exe»
Skype 2.5—>»C:Program FilesSkypePhoneunins000.exe»
Smart-X7 7.80—>C:Program FilesA4TechMouseUninst32.exe
STDU Viewer version 1.3.82.0—>»C:Program FilesSTDU Viewerunins000.exe»
The Bat! Professional v4.0.26—>MsiExec.exe /I{718E5F0B-485B-4617-A264-5BC573EE51C0}
VC80CRTRedist — 8.0.50727.762—>MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
VideoLAN VLC media player 0.8.6d—>C:Program FilesVideoLANVLCuninstall.exe
ViewSonic Monitor Drivers—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{B4FEA924-630D-11D4-B78E-005004566E4D}Setup.exe» -l0x9
Windows Imaging Component—>»C:WINDOWS$NtUninstallWIC$spuninstspuninst.exe»
Windows Installer 3.1 (KB893803)—>»C:WINDOWS$MSI31Uninstall_KB893803v2$spuninstspuninst.exe»
Windows Media Format Runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
Windows Presentation Foundation—>MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
WinEdt—>»C:Program FilesWinEdt TeamWinEdtunins000.exe»
XnView 1.91.1—>»C:Program FilesXnViewunins000.exe»
Your Uninstaller! 2003 Version 3—>»C:Program FilesYour Uninstaller 2003unins000.exe»
Your Uninstaller! 2008 Version 6.0—>»C:Program FilesYour Uninstaller 2008unins000.exe»
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Вкусная постная кухня—>»C:Program FilesВкусная постная кухняuninstall.exe»
Детская энциклопедия о животных—>»C:Program FilesДетская энциклопедия о животныхunins000.exe»
Домашние финансы (FREE)—>C:PROGRA~175EE~1UNWISE.EXE C:PROGRA~175EE~1INSTALL.LOG
Зеленая долина 1.00—>C:Program FilesИгры от NevoSoftЗеленая долинаUninstall.exe
Пакет драйверов Windows — Nokia Modem (05/22/2008 3.8)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokia_blue_6F90B0F4A73A2F780A1010B5D6CB5DDFB098181Enokia_bluetooth.inf
Пакет драйверов Windows — Nokia Modem (05/22/2008 7.00.0.1)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokbtmdm_E68D50F7E25BFE399D47C864C3B52557346242A9nokbtmdm.inf
Пакет драйверов Windows — Nokia pccsmcfd (10/12/2007 6.85.4.0)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175pccsmcfd.inf
Пчелиная вечеринка—>C:Program FilesИгры от AlawarПчелиная вечеринкаUninstall.exe
Сказочные блюда с кулинаром Вкусняшкиным—>»C:Program FilesСказочные блюда с кулинаром Вкусняшкинымuninstall.exe»
Суши Роллы 1.0—>C:Program FilesSusiuninst.exe
СЧИТАЛКА КАЛОРИЙ (только удаление)—>»C:Program FilesCaloriesCalculatoruninstall.exe»
Электронная кулинарная книга 4.0—>C:WINDOWSunvise32.exe C:Program FilesCompax softwarekulinaruninstal.log
Энциклопедия домашней выпечки—>»C:Program FilesЭнциклопедия домашней выпечкиunins000.exe»

======Hosts File======

127.0.0.1 localhost

======Security center information======

AV: Doctor Web Anti-Virus
FW: COMODO Firewall Pro

======System event log======

Computer Name: VITALIY-5A1545B
Event Code: 7035
Message: Служба «Совместимость быстрого переключения пользователей» успешно отправила управляющий элемент «запустить».

Record Number: 16130
Source Name: Service Control Manager
Time Written: 20091027141639.000000+180
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: VITALIY-5A1545B
Event Code: 7036
Message: Служба «Службы терминалов» перешла в состояние Работает.

Record Number: 16129
Source Name: Service Control Manager
Time Written: 20091027141639.000000+180
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 4201
Message: Система обнаружила, что сетевой адаптер DEVICETCPIP_{B2E99E71-C89D-4662-9662-A5A3B067443C} был подключен к сети,
и инициировала нормальную работу через этот сетевой адаптер.

Record Number: 16128
Source Name: Tcpip
Time Written: 20091027141634.000000+180
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 1
Message:
Record Number: 16127
Source Name: DwProt
Time Written: 20091027141634.000000+180
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 7036
Message: Служба «Диспетчер подключений удаленного доступа» перешла в состояние Работает.

Record Number: 16126
Source Name: Service Control Manager
Time Written: 20091027141622.000000+180
Event Type: информация
User:

=====Application event log=====

Computer Name: VITALIY-5A1545B
Event Code: 105
Message: The service was started.

Record Number: 6646
Source Name: ATI Smart
Time Written: 20090411195722.000000+240
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 1517
Message: Реестр пользователя VITALIY-5A1545BVitaliy&Daria был сохранен в то время, как приложение или служба продолжали использовать его во время выхода из системы. Используемая реестром пользователя память не была освобождена. Реестр будет выгружен, когда он не будет использоваться.

Возможная причина — службы, выполняемые от имени пользователя. Попробуйте изменить настройку служб и задать их выполнение с учетными записями LocalService или NetworkService.

Record Number: 6645
Source Name: Userenv
Time Written: 20090411005737.000000+240
Event Type: предупреждение
User: NT AUTHORITYSYSTEM

Computer Name: VITALIY-5A1545B
Event Code: 101
Message: wuauclt (1500) Ядро базы данных остановлено.

Record Number: 6644
Source Name: ESENT
Time Written: 20090410202645.000000+240
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 103
Message: wuaueng.dll (1500) SUS20ClientDataStore: Ядро базы данных остановило работу экземпляра (0).

Record Number: 6643
Source Name: ESENT
Time Written: 20090410202645.000000+240
Event Type: информация
User:

Computer Name: VITALIY-5A1545B
Event Code: 102
Message: wuaueng.dll (1500) SUS20ClientDataStore: Ядро базы данных запустило новый экземпляр (0).

Record Number: 6642
Source Name: ESENT
Time Written: 20090410202140.000000+240
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=C:Program FilesPC Connectivity Solution;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesATI TechnologiesATI Control Panel;C:Program FilesCommon FilesRoxio Shared9.0DLLShared;C:Program FilesCommon FilesDivX Shared
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 4 Stepping 3, GenuineIntel
«PROCESSOR_REVISION»=0403
«NUMBER_OF_PROCESSORS»=2
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

---

EOF

---

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Вставьте в ваше ответное сообщение свежий RSIT лог.

[Landira]

@Valeri wrote:

Здравствуйте, добро пожаловать на Spyware-ru форум.

Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Вставьте в ваше ответное сообщение свежий RSIT лог.

Здравствуйте! Спасибо большое, что откликнулись… Только я не дождалась Вашего ответа… Flash_Disinfector я уже пробовала. Он не помог. Он удалял файлы autorun с флешки, но через 10 секунд они появлялись вновь… 🙁 Обращение к флоппи продолжалось.

Я запустила ComboFix.exe И он помог!!! Что творилось с компьютером перечислять не буду… 😯 Но я мужественно дождалась финального отчета. Теперь все работает. Explorer запускается и вообще красота!!! 😀 Даже не знаю, вставлять сюда результаты его работы или уже не надо? 🙂
Все же вставлю:

ComboFix 09-11-24.04 — Vitaliy&Daria 25.11.2009 20:24.1.2 — x86
Microsoft Windows XP Home Edition 5.1.2600.2.1251.7.1049.18.3071.2503 [GMT 3:00]
Running from: c:documents and settingsVitaliy
AV: Doctor Web Anti-Virus *On-access scanning disabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesEB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:program filesMail.RuAgentMradllnewmrasearch.dll
c:program filesMicrosoft Common
c:program filesMicrosoft Commonsvchost.exe
c:windowsservices.exe
c:windowssystem32ieuinit.inf
c:windowssystem32msvcrt57.dll
c:windowssystem32sfcfiles.dat
c:windowssystem32twain32
c:windowssystem32twain32local.ds
c:windowssystem32twain32user.ds

Infected copy of c:windowssystem32sfcfiles.dll was found and disinfected
Restored copy from — c:windowssystem32dllcachesfcfiles.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_SFC

((((((((((((((((((((((((( Files Created from 2009-10-25 to 2009-11-25 )))))))))))))))))))))))))))))))
.

2009-11-25 01:37 . 2009-11-25 01:37

---

d

---

w- c:program filesЗоркий Глаз
2009-11-25 01:09 . 2009-11-25 01:11

---

d

---

w- c:program filestrend micro
2009-11-25 01:09 . 2009-11-25 01:09

---

d

---

w- C:rsit
2009-11-12 21:21 . 2009-11-12 21:21

---

d

---

w- c:program filesСказочные блюда с кулинаром Вкусняшкиным
2009-11-04 23:02 . 2009-11-04 23:02

---

d

---

w- c:program filesThe Bat!

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-25 17:17 . 2008-12-01 19:26

---

d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2009-11-25 14:26 . 2008-03-19 02:04

---

d

---

w- c:documents and settingsVitaliy&DariaApplication DataThe Bat!
2009-11-25 01:42 . 2008-03-21 17:23

---

d

---

w- c:documents and settingsVitaliy&DariaApplication DataXnView
2009-11-25 00:01 . 2008-03-19 00:37

---

d

---

w- c:program filesOpera
2009-11-24 23:39 . 2004-08-18 12:00 80604 —-a-w- c:windowssystem32perfc019.dat
2009-11-24 23:39 . 2004-08-18 12:00 477906 —-a-w- c:windowssystem32perfh019.dat
2009-11-17 14:30 . 2009-10-16 19:51 107000 —-a-w- c:windowssystem32driversdwprot.sys
2009-11-05 00:03 . 2009-09-24 20:48

---

d

---

w- c:program filesnLite
2009-10-16 19:50 . 2009-10-16 19:50

---

d

---

w- c:program filesCommon FilesDoctor Web
2009-10-16 19:50 . 2009-07-28 13:23

---

d

---

w- c:documents and settingsAll UsersApplication DataDoctor Web
2009-09-30 18:39 . 2008-03-18 23:57 103536 —-a-w- c:documents and settingsVitaliy&DariaLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-09-24 20:32 . 2008-08-14 19:34 204544 —-a-w- c:documents and settingsLocalServiceLocal SettingsApplication DataFontCache3.0.0.0.dat
2009-04-15 20:24 . 2009-04-15 20:24 1044480 —-a-w- c:program filesoperaprogrampluginslibdivx.dll
2009-04-15 20:24 . 2009-04-15 20:24 200704 —-a-w- c:program filesoperaprogrampluginsssldivx.dll
2008-03-19 18:49 . 2008-03-19 18:49 23 —sha-w- c:windowssystem32cfceb_d.dll
2009-04-08 04:39 . 2009-04-05 14:05 326 —sh—w- c:windowssystem32driversios.sys
.

---

Sigcheck

---

[7] 2004-08-18 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32ReinstallBackups007DriverFilesi386atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32dllcacheatapi.sys
[-] 2004-08-03 19:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . . . c:windowssystem32driversatapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32ReinstallBackups008DriverFilesi386atapi.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2008-05-30 722112]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ATIPTA»=»c:program filesATI TechnologiesATI Control Panelatiptaxx.exe» [2005-08-30 344064]
«COMODO Firewall Pro»=»c:program filesComodoFirewallCPF.exe» [2008-03-19 1115728]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-07-27 7975608]
«OSSelectorReinstall»=»c:program filesCommon FilesAcronisAcronis Disk Directoross_reinstall.exe» [2006-04-12 1275413]
«LVCOMSX»=»c:windowssystem32LVCOMSX.EXE» [2005-12-09 225280]
«LogitechCameraAssistant»=»c:program filesLogitechVideoCameraAssistant.exe» [2005-12-07 489472]
«LogitechVideo[inspector]»=»c:program filesLogitechVideoInstallHelper.exe» [2005-12-07 07:33 73728]
«LogitechCameraService(E)»=»c:windowssystem32ElkCtrl.exe» [2004-11-01 262144]
«OpwareSE2″=»c:program filesScanSoftOmniPageSE2.0OpwareSE2.exe» [2003-05-08 49152]
«CRBroadCasting»=»c:program filesCardReader2.0CRBroadCasting.exe» [2004-02-26 24576]
«WheelMouse»=»c:program filesA4TechMouseAmoumain.exe» [2006-12-26 196608]
«Lingvo Launcher»=»c:program filesABBYY Lingvo 8.0Lvagent.exe» [2002-10-02 102400]
«SpIDerAgent»=»d:drwebSpIDerAgent.exe» [2009-11-18 447728]
«SpIDerMail»=»d:drwebspiderml.exe» [2009-06-30 644336]
«SpIDerNT»=»d:drwebspiderui.exe» [2009-09-03 231840]
«FlashAntivir»=»c:program filesЗоркий ГлазAntivirь.exe» [2009-09-29 515072]
«Ярлык для страницы свойств High Definition Audio»=»HDAShCut.exe» — c:windowssystem32HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\ICQ6.5\ICQ.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 DwProt;DrWeb Protection;c:windowssystem32driversdwprot.sys [16.10.2009 22:51 107000]
R2 ASTRA32;ASTRA32 Kernel Driver 5.2.1.0;c:program filesASTRA32astra32.sys [22.02.2007 11:28 30864]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:program filesCommon FilesDoctor WebScanning Enginedwengine.exe [21.01.2009 15:09 869688]
R2 SPIDER;SpIDer Guard File System Monitor;d:drwebspider.sys [16.04.2009 9:40 306464]
R2 SPIDERNT;SpIDer Guard for Windows;d:drwebspidernt.exe [16.04.2009 9:40 231328]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:windowssystem32driversAmps2prt.sys [09.05.2006 19:27 13824]
R3 cmudax;C-Media High Definition Audio Interface;c:windowssystem32driverscmudax.sys [19.03.2008 2:24 1287296]
S3 PAC7302;PAC7302 VGA USB Camera;c:windowssystem32DRIVERSPAC7302.SYS —> c:windowssystem32DRIVERSPAC7302.SYS [?]
S3 REMOVE;REMOVE;??c:windowssystem32driversREMOVE.SYS —> c:windowssystem32driversREMOVE.SYS [?]
.
Contents of the ‘Scheduled Tasks’ folder

2009-10-16 c:windowsTasksDr.Web Daily scan.job
— d:drwebDrWeb32w.exe [2009-06-30 13:41]

2009-11-25 c:windowsTasksDr.Web Update.job
— d:drwebDrWebUpW.exe [2009-06-30 13:41]
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.bspb.ru/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
LSP: d:drwebdrwebsp.dll
.
— — — — ORPHANS REMOVED — — — —

AddRemove-inDev Software Spider v1.17 — SyMBiAN — c:program filesMicrosoft ActiveSyncinDev Software Spider v1.17 — SyMBiANUninstall.exe inDev Software Spider v1.17 — SyMBiAN
AddRemove-PocketSnake — c:program filesMicrosoft ActiveSyncPocketSnakeUninstall.exe PocketSnake
AddRemove-QcDrv — c:program filesCommon FilesLogitechQCDRVBINSETUP.EXE UNINSTALL REMOVEPROMPT
AddRemove-{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB} — c:program filesInstallShield Installation Information{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}setup.exe REMOVEALL

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-25 21:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8AC5C2D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf763bfc3
DriverACPI -> ACPI.sys @ 0xf7586cb8
Driveratapi -> 0x8ac5c2d8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059ece9
ParseProcedure -> ntoskrnl.exe @ 0x8057e98a
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059ece9
ParseProcedure -> ntoskrnl.exe @ 0x8057e98a
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘winlogon.exe'(1164)
c:windowssystem32Ati2evxx.dll

— — — — — — — > ‘lsass.exe'(1220)
d:drwebdrwebsp.dll

— — — — — — — > ‘explorer.exe'(2924)
c:program filesScanSoftOmniPageSE2.0ophookSE2.dll
c:program filesPunto Switcherpshook.dll.1224012578
c:windowssystem32Amhooker.dll
.

---

Other Running Processes

---

.
c:windowssystem32Ati2evxx.exe
c:windowsSYSTEM32GEARSEC.EXE
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesCardReader2.0OTiReader.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32MsPMSPSv.exe
c:windowssystem32wscntfy.exe
c:windowssystem32Ati2evxx.exe
e:прогиNumLock CalculatorNLCalc.exe
c:progra~1MI3AA1~1rapimgr.exe
.
**************************************************************************
.
Completion time: 2009-11-25 21:40 — machine was rebooted
ComboFix-quarantined-files.txt 2009-11-25 18:40

Pre-Run: 34 701 377 536 байт свободно
Post-Run: 35 080 622 080 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Home Edition RU» /noexecute=optin /fastdetect

Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4
— — End Of File — — 632D0E97B99CA780386446285E41796B

[Admin]

Нужно ещё немного поработать.
Скачайте программу mbr кликнув по этой ссылке и сохраните файл в корень диска C (C:).
Отключите Интернет и все антивирусы.

Кликните Пуск, Выполнить.
Введите:

c:mbr.exe -f

Нажмите Enter.
По-окончании работы программ на диске С должен появится файл mbr.log.

Скачайте Win32kDiag с одного из следующих ресурсов 1, 2 or 3.

Дважды кликните по файлу Win32kDiag.exe для запуска Win32kDiag.
Откроется черное окошко, когда в нём появится надпись «Finished! Press any key to exit…», нажмите любую клавишу для закрытия окна. На вашем рабочем столе должен появится файл Win32kDiag.txt.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

REMOVE

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Так же приложите mbr лог и содержимое файла Win32kDiag.txt.

[Автор]

Сообщения