- This topic has 4 ответа, 2 участника, and was last updated 15 years, 4 months назад by
.
-
Сообщения
-
В системе явно сидит что-то… После установки касперского 2009 в системе обнаружилась куча «Друзей»
Trojan-Clicker.Win32.Liah.c
Trojan-Dropper.Win32.Agent.abot
Trojan-Clicker.Win32.Delf.bmp
Worm.win32.autorun.dag
Но расправа не помогла…. 👿
Уходят пасы от соц сeтей. (Смена логинов, паролей, ящиков не помогает). Все способы включить «показ скрытых файлов» — обречены на неудачу. В разделы автозагрузки реестра постоянно вешается файл CTFMON.exe (это как я помнимаю служба)
То есть «Гости» живы и не детектятся ни Curit , ни Касперским.Logfile of random’s system information tool 1.06 (written by random/random)
Run by Nataly at 2010-04-15 23:26:37
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (21%) free of 20 GB
Total RAM: 1023 MB (52% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:26:47, on 15.04.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32spoolsv.exe
C:Documents and SettingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE
C:WINDOWSsystem32svchost.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesMTS ConnectMTS Connect.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGmdm.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32cmd.exe
C:Documents and SettingsNatalyРабочий столкнигиRSIT.exe
C:Program FilesTrend MicroHijackThisNataly.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — — (no file)
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 — BHO: IEVkbdBHO — {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009ievkbd.dll
O2 — BHO: Groove GFS Browser Helper — {72853161-30C5-4D22-B7F9-0BBC1D38A37E} — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe»
O4 — HKLM..Run: [QuickTime Task] «C:Program FilesQuickTimeqttask.exe» -atboottime
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: Статистика защиты веб-трафика — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009SCIEPlgn.dll
O9 — Extra button: Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra ‘Tools’ menuitem: &Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) — http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 — HKLMSystemCCSServicesTcpip..{3DBCA849-644D-49B4-897F-F6EBDA297014}: NameServer = 217.8.235.194 217.8.235.82
O18 — Protocol: grooveLocalGWS — {88FED34C-F0CA-4636-A375-3CB6248B04CD} — C:PROGRA~1MICROS~2Office12GR99D3~1.DLL
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: ATI Smart — Unknown owner — C:WINDOWSsystem32ati2sgag.exe
O23 — Service: Kaspersky Anti-Virus (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe
O23 — Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) — SEIKO EPSON CORPORATION — C:Documents and SettingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NBService — Nero AG — C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 — Service: PCLEPCI — Pinnacle Systems GmbH — C:WINDOWSsystem32driverspclepci.sys
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 6188 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx [2001-04-16 37808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009ievkbd.dll [2008-11-11 62728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL [2006-10-27 2210608][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]
IE 4.x-6.x BHO for Download Master — C:PROGRA~1DOWNLO~1dmiehlp.dll [2006-11-02 67584][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«AVP»=C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe [2010-04-06 208616]
«QuickTime Task»=C:Program FilesQuickTimeqttask.exe [2008-12-25 77824][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll»[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2006-10-12 90112][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon]
C:WINDOWSsystem32klogon.dll [2008-11-11 218376][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2006-10-18 133632][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
«{B5A7F190-DDA6-4420-B3BA-52453494E6CD}»=C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL [2006-10-27 2210608][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoDriveAutoRun»=FFFFFFFF[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«C:WINDOWSsystem32sessmgr.exe»=»C:WINDOWSsystem32sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019»
«C:Program FilesMicrosoft OfficeOffice12OUTLOOK.EXE»=»C:Program FilesMicrosoft OfficeOffice12OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook»
«C:Program FilesMicrosoft OfficeOffice12groove.exe»=»C:Program FilesMicrosoft OfficeOffice12groove.exe:*:Enabled:Microsoft Office Groove»
«C:Program FilesMicrosoft OfficeOffice12ONENOTE.EXE»=»C:Program FilesMicrosoft OfficeOffice12ONENOTE.EXE:*:Enabled:Microsoft Office OneNote»
«C:Program FilesPinnacleStudio 11programsRM.exe»=»C:Program FilesPinnacleStudio 11programsRM.exe:*:Enabled:Render Manager»
«C:Program FilesPinnacleStudio 11programsStudio.exe»=»C:Program FilesPinnacleStudio 11programsStudio.exe:*:Enabled:Studio»
«C:Program FilesPinnacleStudio 11programsPMSRegisterFile.exe»=»C:Program FilesPinnacleStudio 11programsPMSRegisterFile.exe:*:Enabled:PMSRegisterFile»
«C:Program FilesPinnacleStudio 11programsumi.exe»=»C:Program FilesPinnacleStudio 11programsumi.exe:*:Enabled:umi»
«C:Program FilesCounter-Strike Source Русский спецназ 2hl2.exe»=»C:Program FilesCounter-Strike Source Русский спецназ 2hl2.exe:*:Enabled:hl2»
«D:3dsmax63dsmax.exe»=»D:3dsmax63dsmax.exe:*:Disabled:3ds max application»
«C:Program FilesGPRSBoosterclient.exe»=»C:Program FilesGPRSBoosterclient.exe:*:Enabled:GPRSBooster»
«C:Program FilesPeersPeers.exe»=»C:Program FilesPeersPeers.exe:*:Enabled:Peers»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2Q]
shellAutoRuncommand — Q:autorun.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2Z]
shellAutoRuncommand — Z:INSTALL.EXE[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{22d56cc4-f386-11dd-96c2-0021912146ea}]
shellAutoRuncommand — H:
shellopencommand — rundll32.exe .\kbdyal.dll,InstallS[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7f2cc0f8-e60d-11dc-9a67-ad198aff1eec}]
shellAutoRuncommand — H:
shellopencommand — rundll32.exe .\aclednt.dll,InstallS[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{febd1b0a-57b1-11dc-9936-ce9875980dd4}]
shellAutoRuncommand — H:
shellopencommand — rundll32.exe .\inetcpg.dll,InstallS======List of files/folders created in the last 1 months======
2010-04-15 23:26:37 —-D—- C:rsit
2010-04-15 22:50:03 —-D—- C:Program FilesTrend Micro
2010-04-15 22:41:52 —-RASHD—- C:autorun.inf
2010-04-09 00:18:00 —-SHD—- C:FOUND.017
2010-04-07 03:20:27 —-D—- C:Program Files2gis
2010-04-06 17:26:15 —-A—- C:WINDOWSntbtlog.txt======List of files/folders modified in the last 1 months======
2010-04-15 22:42:08 —-SH—- C:boot.ini
2010-04-15 22:42:08 —-A—- C:WINDOWSwin.ini
2010-04-15 22:42:08 —-A—- C:WINDOWSSYSTEM.INI
2010-04-15 13:46:50 —-A—- C:WINDOWSModemLog_HUAWEI Mobile Connect — 3G Modem.txt
2010-04-15 11:39:38 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2010-04-15 03:26:36 —-A—- C:WINDOWSSchedLgU.Txt
2010-03-30 02:17:54 —-A—- C:WINDOWSModemLog_HUAWEI Mobile Connect — 3G Modem #2.txt======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 cdrbsdrv;cdrbsdrv; C:WINDOWSsystem32driverscdrbsdrv.sys [2004-03-08 13567]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2004-08-17 40448]
R1 kbdhid;Драйвер клавиатуры HID; C:WINDOWSsystem32DRIVERSkbdhid.sys [2004-08-17 14848]
R1 KLIF;Kaspersky Lab Driver; C:WINDOWSsystem32DRIVERSklif.sys [2010-04-06 226832]
R1 prodrv06;StarForce Protection Environment Driver v6; C:WINDOWSSystem32driversprodrv06.sys [2004-01-26 52224]
R2 irda;ИК-протокол IrDA; C:WINDOWSsystem32DRIVERSirda.sys [2004-08-03 87424]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:WINDOWSsystem32driversALCXSENS.SYS [2003-08-14 404736]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2003-08-15 462684]
R3 Arp1394;Протокол клиента 1394 ARP; C:WINDOWSsystem32DRIVERSarp1394.sys [2004-08-17 60800]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2006-10-12 1777152]
R3 FETNDISB;D-Link PCI Fast Ethernet Adapter Driver Service; C:WINDOWSsystem32DRIVERSdlkfet5b.sys [2006-12-27 46080]
R3 HidUsb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2001-08-17 9600]
R3 hwdatacard;Huawei DataCard USB Modem and USB Serial; C:WINDOWSsystem32DRIVERSewusbmdm.sys [2009-06-22 102528]
R3 hwusbdev;Huawei DataCard USB PNP Device; C:WINDOWSsystem32DRIVERSewusbdev.sys [2009-06-22 100480]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:WINDOWSsystem32DRIVERSklim5.sys [2008-04-30 24592]
R3 MarvinBus;Pinnacle Marvin Bus; C:WINDOWSsystem32DRIVERSMarvinBus.sys [2007-01-04 171520]
R3 NIC1394;Сетевой драйвер 1394; C:WINDOWSsystem32DRIVERSnic1394.sys [2004-08-17 61824]
R3 Rasirda;Минипорт WAN (IrDA); C:WINDOWSsystem32DRIVERSrasirda.sys [2001-08-17 19584]
R3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2004-08-03 31616]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2004-08-03 26624]
R3 usbhub;Драйвер стандартного концентратора USB (Microsoft); C:WINDOWSsystem32DRIVERSusbhub.sys [2004-08-03 57600]
R3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2004-08-03 20480]
S3 61883;Устройство 61883; C:WINDOWSsystem32DRIVERS61883.sys [2004-08-03 48128]
S3 Avc;Устройство AVC; C:WINDOWSsystem32DRIVERSavc.sys [2004-08-03 38912]
S3 CCDECODE;Closed Caption декодер; C:WINDOWSsystem32DRIVERSCCDECODE.sys [2004-08-03 17024]
S3 GAGPDrv;GAGPDrv; C:WINDOWSsystem32driversGAGPDrv.sys []
S3 GVCplDrv;GVCplDrv; C:WINDOWSsystem32driversGVCplDrv.sys [2003-09-30 22880]
S3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-10-19 12160]
S3 ms_mpu401;Драйвер UART Microsoft MPU-401 MIDI; C:WINDOWSsystem32driversmsmpu401.sys [2001-08-17 2944]
S3 MSDV;Microsoft DV Camera and VCR; C:WINDOWSsystem32DRIVERSmsdv.sys [2004-08-03 51328]
S3 MSIRCOMM;Microsoft IR Communications Driver; C:WINDOWSsystem32DRIVERSMSIRCOMM.sys [2004-08-03 22016]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:WINDOWSsystem32driversMSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;NABTS/FEC VBI кодек; C:WINDOWSsystem32DRIVERSNABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Microsoft видео или ТВ подключение; C:WINDOWSsystem32DRIVERSNdisIP.sys [2004-08-03 10880]
S3 Remoprgrti;Remoprgrti; C:WINDOWSsystem32driversRemoprgrti.sys []
S3 Ser2pl;Prolific2 Serial port driver; C:WINDOWSsystem32DRIVERSser2pl.sys [2004-10-15 42752]
S3 SLIP;BDA Slip De-Framer; C:WINDOWSsystem32DRIVERSSLIP.sys [2004-08-03 11136]
S3 sonypvs1;Sony Digital Imaging Video2; C:WINDOWSsystem32DRIVERSsonypvs1.sys []
S3 StillCam;Драйвер цифровой фотокамеры для посл. порта; C:WINDOWSsystem32DRIVERSserscan.sys [2001-10-19 6912]
S3 STIrUsb;STIrUsb.sys SigmaTel USB-IrDA Adapter; C:WINDOWSsystem32DRIVERSirstusb.sys [2004-04-29 31048]
S3 streamip;BDA IPSink; C:WINDOWSsystem32DRIVERSStreamIP.sys [2004-08-03 15360]
S3 usbaudio;Аудио драйвер USB (WDM); C:WINDOWSsystem32driversusbaudio.sys [2004-08-03 59264]
S3 usbprint;Класс принтеров Microsoft USB; C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]
S3 WSTCODEC;World Standard Teletext кодек; C:WINDOWSsystem32DRIVERSWSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-09-28 82944]
S4 sr;Драйвер фильтра восстановления системы; C:WINDOWSsystem32DRIVERSsr.sys [2004-08-17 73472]
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2001-10-20 12032]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2006-10-12 430080]
R2 AVP;Kaspersky Anti-Virus; C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe [2010-04-06 208616]
R2 EPSON_PM_RPCV4_01;EPSON V3 Service4(01); C:Documents and SettingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE [2006-04-18 102400]
R2 Irmon;Монитор инфракрасной связи; C:WINDOWSsystem32svchost.exe [2004-08-17 14336]
R3 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGmdm.exe [2006-10-26 335872]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2006-10-11 520192]
S2 PCLEPCI;PCLEPCI; C:WINDOWSsystem32driverspclepci.sys [2005-02-09 14165]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2005-09-23 66240]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:WINDOWSMicrosoft.NetFrameworkv3.0WPFPresentationFontCache.exe [2006-10-20 36864]
S3 idsvc;Windows CardSpace; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2006-10-30 741376]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:Program FilesMicrosoft OfficeOffice12GrooveAuditService.exe [2006-10-27 65824]
S3 NBService;NBService; C:Program FilesNeroNero 7Nero BackItUpNBService.exe [2006-11-10 774144]
S3 odserv;Microsoft Office Diagnostics Service; C:Program FilesCommon FilesMicrosoft SharedOFFICE12ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2004-08-17 14336]
S4 msvsmon80;Visual Studio 2005 Remote Debugger; C:Program FilesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [2006-09-13 2799808]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2006-10-30 122880]
EOF
info.txt logfile of random’s system information tool 1.06 2010-04-15 23:26:51======Uninstall list======
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
Adobe Acrobat 5.0—>C:WINDOWSISUNINST.EXE -f»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.isu» -c»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.dll»
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Help Center 1.0—>MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}
Adobe Stock Photos 1.0—>MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}
ATI — Software Uninstall Utility—>C:Program FilesATI TechnologiesUninstallAllAtiCimUn.exe
ATI Control Panel—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{0BEDBD4E-2D34-47B5-9973-57E62B29307C}setup.exe»
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Beetle Ju 2 V1.0—>»C:GamesBeetle Ju 2unins000.exe»
Camera RAW Plug-In for EPSON Creativity Suite—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime�701Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{8DAC1AE4-33D1-4A78-8A42-00E09EDECC3E}SETUP.EXE» -l0x19 UNINST
CCleaner (remove only)—>»C:Program FilesCCleaneruninst.exe»
Diamond Caves II—>C:PROGRA~1UNWISE.EXE C:PROGRA~1DIAMON~1INSTALL.LOG
D-Link DFE520TX—>C:PROGRA~1COMMON~1INSTAL~1Driver10INTEL3~1IDriver.exe /M{9629C9A1-74F7-4DD0-B99B-9066925E63F8}
D-Link PCI Fast Ethernet Adapter—>Rundll32.exe vuins32.dll,vuins32Ex $Rhine $D-Link
Download Master version 5.1.6.1049—>»C:Program FilesDownload Masterunins000.exe»
Enable S3 for USB Device—>C:WINDOWSIsUninst.exe -f»C:Program FilesGigabyteEnable S3 for USB DeviceUninst.isu»
EPSON Printer Software—>C:WINDOWSSystem32spoolDRIVERSW32X863EPUPDATE.EXE /R
FAR file manager—>C:Program FilesFarUninstall.exe
HijackThis 2.0.2—>»C:Program FilesTrend MicroHijackThisHijackThis.exe» /uninstall
Hotfix for Windows XP (KB926239)—>»C:WINDOWS$NtUninstallKB926239$spuninstspuninst.exe»
Intel Application Accelerator—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{9984DF60-1C5B-11D3-ACA1-908A4FC10801}Setup.exe» -INTELUNINST
Iona—>C:WINDOWSIsUninst.exe -fC:GAMESTRIADAIonaUninst.isu
K-Lite Mega Codec Pack 3.4.5—>»C:Program FilesK-Lite Codec Packunins000.exe»
Macromedia Flash Player—>MsiExec.exe /X{0456ebd7-5f67-4ab6-852e-63781e3f389c}
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0—>C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Microsoft .NET Framework 2.0install.exe
Microsoft .NET Framework 3.0—>C:WINDOWSMicrosoft.NETFrameworkv3.0Microsoft .NET Framework 3.0setup.exe
Microsoft .NET Framework 3.0—>MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003}
Microsoft Document Explorer 2005—>C:Program FilesCommon FilesMicrosoft SharedHelp 8Microsoft Document Explorer 2005install.exe
Microsoft Document Explorer 2005—>MsiExec.exe /X{44D4AF75-6870-41F5-9181-662EA05507E1}
Microsoft Office Access MUI (Russian) 2007—>MsiExec.exe /X{90120000-0015-0419-0000-0000000FF1CE}
Microsoft Office Enterprise 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007—>MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (Russian) 2007—>MsiExec.exe /X{90120000-0016-0419-0000-0000000FF1CE}
Microsoft Office Groove MUI (Russian) 2007—>MsiExec.exe /X{90120000-00BA-0419-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (Russian) 2007—>MsiExec.exe /X{90120000-0044-0419-0000-0000000FF1CE}
Microsoft Office OneNote MUI (Russian) 2007—>MsiExec.exe /X{90120000-00A1-0419-0000-0000000FF1CE}
Microsoft Office Outlook MUI (Russian) 2007—>MsiExec.exe /X{90120000-001A-0419-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Russian) 2007—>MsiExec.exe /X{90120000-0018-0419-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007—>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007—>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Russian) 2007—>MsiExec.exe /X{90120000-001F-0419-0000-0000000FF1CE}
Microsoft Office Proof (Ukrainian) 2007—>MsiExec.exe /X{90120000-001F-0422-0000-0000000FF1CE}
Microsoft Office Proofing (Russian) 2007—>MsiExec.exe /X{90120000-002C-0419-0000-0000000FF1CE}
Microsoft Office Publisher MUI (Russian) 2007—>MsiExec.exe /X{90120000-0019-0419-0000-0000000FF1CE}
Microsoft Office Shared MUI (Russian) 2007—>MsiExec.exe /X{90120000-006E-0419-0000-0000000FF1CE}
Microsoft Office Word MUI (Russian) 2007—>MsiExec.exe /X{90120000-001B-0419-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0—>»C:WINDOWS$NtUninstallWudf01000$spuninstspuninst.exe»
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{837b34e3-7c30-493c-8f6a-2b0f04e2912c}
Microsoft Visual C++ 2008 Redistributable — x86 9.0.30729.4148—>MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 6.0 Standard Edition—>»C:Program FilesMicrosoft Visual StudioVC98Setup1033Setup.exe»
Mozilla Firefox (3.6.3)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
MSXML 6.0 Parser (KB925673)—>MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08}
MTS Connect—>C:Program FilesMTS Connectuninst.exe
Peers r462—>»C:Program FilesPeersunins000.exe»
Picture Package—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime�701Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{1E2F8AE3-3437-44E6-BB75-E95751D6B83F}setup.exe» -l0x19 UNINSTALL
QuickTime—>C:WINDOWSunvise32qt.exe C:WINDOWSsystem32QuickTimeUninstall.log
Realtek AC’97 Audio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{FB08F381-6533-4108-B7DD-039E11FBC27E}setup.exe» REMOVE
Vegas Pro 9.0—>MsiExec.exe /X{56415658-366E-4E28-A6BD-68EC63E560E0}
Windows Communication Foundation—>MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333}
Windows Imaging Component—>»C:WINDOWS$NtUninstallWIC$spuninstspuninst.exe»
Windows Media Format 11 runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
Windows Media Format 11 runtime—>»C:WINDOWS$NtUninstallWMFDist11$spuninstspuninst.exe»
Windows Presentation Foundation—>MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation—>MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}
WinRAR archiver—>C:Program FilesWinRARuninstall.exe
WinZip—>»C:Program FilesWinZipWINZIP32.EXE» /uninstall
Yahoo! Desktop Login—>MsiExec.exe /I{F9AEEC34-CF00-4CBD-9E36-DF9DC4002685}
Антивирус Касперского 2009—>MsiExec.exe /I{6580C5A3-2336-4EC5-85F1-3448C5F6208A}
Антивирус Касперского 2009—>MsiExec.exe /I{6580C5A3-2336-4EC5-85F1-3448C5F6208A}
Веселая ферма 2—>d:Program FilesAlawar.ruВеселая ферма 2Uninstall.exe
Веселая ферма—>C:Program FilesAlawar.ruВеселая фермаUninstall.exe
Данные ДубльГИС г.Новосибирск 01.04.2010—>MsiExec.exe /X{BB93102A-B522-4CDD-9F27-09DC2CC85DFC}
ДубльГИС 3.0.6.4—>MsiExec.exe /X{751DAFAF-980F-4745-AF49-547623DD1CB7}
Удалить игруВеселая ферма 3. Ледниковый период—>D:GamesGamesВеселая ферма 3. Ледниковый периодUninstall.exe=====HijackThis Backups=====
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru [2010-04-15]
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru [2010-04-15]
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie [2010-04-15]
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru [2010-04-15]
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://footage.3dn.ru [2010-04-15]
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank [2010-04-15]
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie [2010-04-15]
R3 — URLSearchHook: QIPBHO Class — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsNatalyApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2010-04-15]
O2 — BHO: QIPBHO — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsNatalyApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2010-04-15]
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe [2010-04-15]
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’) [2010-04-15]
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’) [2010-04-15]
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm [2010-04-15]
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm [2010-04-15]
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm [2010-04-15]
O23 — Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) — SEIKO EPSON CORPORATION — C:Documents and SettingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE [2010-04-15]======Hosts File======
127.0.0.1 localhost
127.0.0.1 microsoft.com======Security center information======
AV: Антивирус Касперского (outdated)
======System event log======
Computer Name: STD13
Event Code: 15
Message: RSM не может управлять библиотекой «CdRom2». База данных повреждена.Record Number: 5771
Source Name: Служба съемных носителей
Time Written: 20090814123035.000000+420
Event Type: ошибка
User:Computer Name: STD13
Event Code: 15
Message: RSM не может управлять библиотекой «CdRom1». База данных повреждена.Record Number: 5770
Source Name: Служба съемных носителей
Time Written: 20090814123035.000000+420
Event Type: ошибка
User:Computer Name: STD13
Event Code: 7036
Message: Служба «Протокол HTTP SSL» перешла в состояние Работает.Record Number: 5769
Source Name: Service Control Manager
Time Written: 20090814122941.000000+420
Event Type: информация
User:Computer Name: STD13
Event Code: 7035
Message: Служба «Протокол HTTP SSL» успешно отправила управляющий элемент «запустить».Record Number: 5768
Source Name: Service Control Manager
Time Written: 20090814122941.000000+420
Event Type: информация
User: NT AUTHORITYLOCAL SERVICEComputer Name: STD13
Event Code: 7036
Message: Служба «Диспетчер авто-подключений удаленного доступа» перешла в состояние Работает.Record Number: 5767
Source Name: Service Control Manager
Time Written: 20090814122940.000000+420
Event Type: информация
User:=====Application event log=====
Computer Name: STD13
Event Code: 102
Message: wuaueng.dll (2432) SUS20ClientDataStore: Ядро базы данных запустило новый экземпляр (0).Record Number: 5
Source Name: ESENT
Time Written: 20091008112956.000000+420
Event Type: информация
User:Computer Name: STD13
Event Code: 100
Message: wuauclt (2432) Ядро базы данных 5.01.2600.2180 запущено.Record Number: 4
Source Name: ESENT
Time Written: 20091008112956.000000+420
Event Type: информация
User:Computer Name: STD13
Event Code: 1800
Message: Служба центра обеспечения безопасности Windows запущена.Record Number: 3
Source Name: SecurityCenter
Time Written: 20091008112909.000000+420
Event Type: информация
User:Computer Name: STD13
Event Code: 105
Message: The service was started.Record Number: 2
Source Name: ATI Smart
Time Written: 20091008112855.000000+420
Event Type: информация
User:Computer Name: STD13
Event Code: 1001
Message: Checking file system on C:
The type of the file system is FAT32.One of your disks needs to be checked for consistency. You
may cancel the disk check, but it is strongly recommended
that you continue.
Windows will now check the disk.
Volume Serial Number is C8C3-A8F5
Documents and SettingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.defaultlocalstore.rdf first allocation unit is not valid. The entry will be truncated.
Documents and SettingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.defaultformhistory.dat first allocation unit is not valid. The entry will be truncated.
Documents and SettingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.defaultsessionstore.js first allocation unit is not valid. The entry will be truncated.
Convert lost chains to files (Y/N)? Yes
128 KB in 3 recovered files.
Windows has made corrections to the file system.
20472816 KB total disk space.
2294800 KB in 699 hidden files.
89392 KB in 5492 folders.
14703616 KB in 72464 files.
3384992 KB are available.16384 bytes in each allocation unit.
1279551 total allocation units on disk.
211562 allocation units available on disk.Record Number: 1
Source Name: Winlogon
Time Written: 20091008112850.000000+420
Event Type: информация
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=C:PROGRA~1BorlandDelphi5ProjectsBpl;C:PROGRA~1BorlandvbrokerjreBin;C:PROGRA~1BorlandvbrokerBin;C:PROGRA~1BorlandDelphi5Bin;C:PROGRA~1BorlandCBUILD~1ProjectsBpl;C:PROGRA~1BorlandCBUILD~1Bin;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesATI TechnologiesATI Control Panel;C:Program FilesCommon FilesUlead SystemsMPEG;C:Program FilesCommon FilesAutodesk Shared;C:Program Filesbackburner 2
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 2 Stepping 4, GenuineIntel
«PROCESSOR_REVISION»=0204
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
EOF
Здравствуйте, добро пожаловать на Spyware-ru форум.
Выполним дополнительную проверку.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Доброго времени.
Выполнено. Лог Ниже.
При выполнении аварийно был завершен какой-то процесс. О его повреждении сообщила система желтым треугольником при первом запуске системы после проверки(что то типа в папке …help..pssvc.pf). Еще сработал антивирус на тестовый файл который создал ComboFix.
Результат: Стал доступен просмотр скрытых файлов через Explorer. Чуть оживилась система…ComboFix 10-04-15.05 — Nataly 17.04.2010 23:31:53.1.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.623 [GMT 7:00]
Running from: c:documents and settingsNatalyРабочий столComboFix.exe
Command switches used :: c:documents and settingsNatalyРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:documents and settingsLocalServiceApplication Datawsnpoem
c:documents and settingsLocalServiceApplication Datawsnpoemaudio.dll
c:documents and settingsNetworkServiceApplication Datawsnpoem
c:documents and settingsNetworkServiceApplication Datawsnpoemaudio.dll
c:program filesMicrosoft Common
c:program filesMyCentria
C:Thumbs.db
c:windowseSellerateEngine.dll
c:windowsgendel32.exe
c:windowssystem32mswmpdat.tlb
c:windowssystem32reboot.txt
c:windowssystem32tmp12.tmp
c:windowssystem32tmp13.tmp
c:windowssystem32tmp16.tmp
c:windowssystem32tmp17.tmp
c:windowssystem32tmp87.tmp
c:windowssystem32tmp88.tmp
c:windowssystem32tmp92.tmp
c:windowssystem32tmp93.tmp
c:windowssystem32winview.ocx
c:windowssystem32wmcache.nld
c:windowssystem32wsnpoem
c:windowssystem32wsnpoemaudio.dll
c:windowssystem32wsnpoemvideo.dll
c:windowswinhelp.ini
BITS: Possible infected sites
hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-03-17 to 2010-04-17 )))))))))))))))))))))))))))))))
.2010-04-17 08:13 . 2010-04-17 08:13
d
w- c:program filesuTorrent
2010-04-17 08:13 . 2010-04-17 08:13
d
w- c:documents and settingsNatalyApplication DatauTorrent
2010-04-15 18:44 . 2010-04-15 18:45 7168 —-a-w- c:windowssystem32driversutm3njm3.sys
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsAll UsersApplication DataYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:program filesYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsNatalyApplication DataYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsNatalyLocal SettingsApplication DataYandex
2010-04-15 16:26 . 2010-04-15 16:26
d
w- C:rsit
2010-04-15 15:50 . 2010-04-15 15:50
d
w- c:program filesTrend Micro
2010-04-08 17:18 . 2010-04-08 17:18
d
w- C:FOUND.017
2010-04-06 20:20 . 2010-04-06 20:20
d
w- c:program files2gis
2010-04-06 10:18 . 2010-04-06 10:18 109072 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd3.dll
2010-04-06 10:18 . 2010-04-06 10:18 59920 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd.dll
2010-04-06 10:18 . 2010-04-06 10:18 208616 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506avp.exe
2010-04-06 10:18 . 2010-04-06 10:18 33808 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506klbg.sys
2010-04-06 10:17 . 2010-04-06 10:18 226832 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506XPklif.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox2.idx
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox2.dat
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox.idx
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox.dat
2010-04-17 16:32 . 2001-10-20 05:00 83196 —-a-w- c:windowssystem32perfc019.dat
2010-04-17 16:32 . 2001-10-20 05:00 480870 —-a-w- c:windowssystem32perfh019.dat
2010-04-08 07:24 . 2007-09-04 14:25 27 —-a-w- c:windowspopcinfo.dat
2010-04-07 06:24 . 2008-12-20 11:05 12496 —-a-w- c:windowsMSPuzzle.dat
2010-04-06 10:18 . 2009-10-04 01:35 95259 —-a-w- c:windowssystem32driversklick.dat
2010-04-06 10:18 . 2009-10-04 01:35 108059 —-a-w- c:windowssystem32driversklin.dat
2010-04-06 10:18 . 2008-01-29 10:29 33808 —-a-w- c:windowssystem32driversklbg.sys
2008-02-14 04:45 . 2008-02-14 04:45 4637 —-a-w- c:program filesPatchWise.log
1999-06-25 03:55 . 2008-03-19 10:33 149504 —-a-w- c:program filesUNWISE.EXE
2005-09-19 07:12 . 2007-08-24 17:09 44158 —-a-w- c:program filesmozilla firefoxcomponentsinspector.dll
.
Sigcheck
[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«AVP»=»c:program filesKaspersky LabKaspersky Anti-Virus 2009avp.exe» [2010-04-06 208616]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2008-12-25 77824]c:documents and settingsNatalyѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Punto Switcher.lnk — c:program filesYandexPunto Switcherpunto.exe [2010-4-16 831272][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\groove.exe»=
«c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«c:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«c:\Program Files\Peers\Peers.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=R0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [29.01.2008 17:29 33808]
R0 sptd;sptd;c:windowssystem32driverssptd.sys [12.03.2008 19:31 639224]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32driversklim5.sys [30.04.2008 17:06 24592]
S3 GAGPDrv;GAGPDrv; [x]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:windowssystem32driversewusbdev.sys [01.01.2005 0:08 100480]
S3 Remoprgrti;Remoprgrti; [x]
S3 utm3njm3;AVZ Kernel Driver;c:windowssystem32driversutm3njm3.sys [16.04.2010 1:44 7168]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:program filesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [13.09.2006 4:24 2799808]
.
.
Supplementary Scan
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Незнакомые слова — c:program filesPRMT8PRMTIEinfopanel.htm
IE: Открыть словарную статью — c:program filesPRMT8PRMTIEaddentry.htm
IE: Перевести — c:program filesPRMT8PRMTIEtranslat.htm
IE: Перевести страницу — c:program filesPRMT8PRMTIEpage.htm
IE: Поиск в Интернете — c:program filesPRMT8PRMTIEsearch.htm
FF — ProfilePath — c:documents and settingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
c:program filesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.
— — — — ORPHANS REMOVED — — — —AddRemove-Iona — c:gamesTRIADAIonaUninst.isu
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 23:41
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x86F641D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf7773fc3
DriverACPI -> ACPI.sys @ 0xf75d7cb8
Driveratapi -> 0x86fd11d8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: D-Link DFE-520TX PCI Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf74c8ba0
PacketIndicateHandler -> NDIS.sys @ 0xf74b7a0b
SendHandler -> NDIS.sys @ 0xf74cbb31
Warning: possible MBR rootkit infection !
user & kernel MBR OK**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1252)
c:windowssystem32Ati2evxx.dll— — — — — — — > ‘explorer.exe'(2728)
c:program filesYandexPunto Switcherpshook.dll
c:windowssystem32msi.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Other Running Processes
.
c:windowssystem32Ati2evxx.exe
c:windowssystem32Ati2evxx.exe
c:documents and settingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-04-17 23:43:54 — machine was rebooted
ComboFix-quarantined-files.txt 2010-04-17 16:43Pre-Run: 3 728 736 256 байт свободно
Post-Run: 3 730 194 432 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect— — End Of File — — 71BE0729F29AF1C346EB4A2FC22B369A
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
Remoprgrti
utm3njm3
MBR::Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.При запуске Combofix`a снова аварийно закрылась служба — PEV.cfxxe….
Если ссылка (из лога ниже) взята при «препорации» драйвера, который проверялся, то скорее всего это PuntoSwitcher. Установлен в систему он был перед написанием первого сообщения в топик. (хотя интересно узнать что ворует эта программка). А что то живет(жило) давно….ComboFix 10-04-15.05 — Nataly 22.04.2010 7:32:58.2.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.610 [GMT 7:00]
Running from: C:Documents and SettingsNatalyРабочий столComboFix.exe
Command switches used :: C:Documents and SettingsNatalyРабочий столCFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
BITS: Possible infected sites
hxxp://soft.export.yandex.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_REMOPRGRTI
Legacy_UTM3NJM3
Service_Remoprgrti
Service_utm3njm3((((((((((((((((((((((((( Files Created from 2010-03-22 to 2010-04-22 )))))))))))))))))))))))))))))))
.2010-04-21 11:55:41 . 2010-04-21 11:55:42
d—h—w- C:WINDOWSsystem32GroupPolicy
2010-04-17 08:13:49 . 2010-04-17 08:13:50
d
w- C:Program FilesuTorrent
2010-04-17 08:13:05 . 2010-04-17 08:13:06
d
w- C:Documents and SettingsNatalyApplication DatauTorrent
2010-04-15 18:44:55 . 2010-04-15 18:45:00 7168 —-a-w- C:WINDOWSsystem32driversutm3njm3.sys
2010-04-15 17:59:48 . 2010-04-15 17:59:50
d
w- C:Documents and SettingsAll UsersApplication DataYandex
2010-04-15 17:59:46 . 2010-04-15 17:59:48
d
w- C:Program FilesYandex
2010-04-15 17:59:46 . 2010-04-15 17:59:48
d
w- C:Documents and SettingsNatalyApplication DataYandex
2010-04-15 17:59:42 . 2010-04-15 17:59:44
d
w- C:Documents and SettingsNatalyLocal SettingsApplication DataYandex
2010-04-15 16:26:37 . 2010-04-15 16:26:38
d
w- C:rsit
2010-04-15 15:50:03 . 2010-04-15 15:50:04
d
w- C:Program FilesTrend Micro
2010-04-08 17:18:00 . 2010-04-08 17:18:00
d
w- C:FOUND.017
2010-04-06 20:20:27 . 2010-04-06 20:20:28
d
w- C:Program Files2gis
2010-04-06 10:18:38 . 2010-04-06 10:18:40 109072 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd3.dll
2010-04-06 10:18:34 . 2010-04-06 10:18:36 59920 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd.dll
2010-04-06 10:18:16 . 2010-04-06 10:18:18 208616 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506avp.exe
2010-04-06 10:18:13 . 2010-04-06 10:18:14 33808 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506klbg.sys
2010-04-06 10:17:43 . 2010-04-06 10:18:14 226832 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506XPklif.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox2.idx
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox2.dat
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox.idx
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox.dat
2010-04-22 00:24:12 . 2001-10-20 05:00:00 83196 —-a-w- C:WINDOWSsystem32perfc019.dat
2010-04-22 00:24:12 . 2001-10-20 05:00:00 480870 —-a-w- C:WINDOWSsystem32perfh019.dat
2010-04-08 07:24:04 . 2007-09-04 14:25:25 27 —-a-w- C:WINDOWSpopcinfo.dat
2010-04-07 06:24:44 . 2008-12-20 11:05:27 12496 —-a-w- C:WINDOWSMSPuzzle.dat
2010-04-06 10:18:56 . 2009-10-04 01:35:51 95259 —-a-w- C:WINDOWSsystem32driversklick.dat
2010-04-06 10:18:56 . 2009-10-04 01:35:51 108059 —-a-w- C:WINDOWSsystem32driversklin.dat
2010-04-06 10:18:56 . 2008-01-29 10:29:38 33808 —-a-w- C:WINDOWSsystem32driversklbg.sys
2008-02-14 04:45:50 . 2008-02-14 04:45:46 4637 —-a-w- C:Program FilesPatchWise.log
1999-06-25 03:55:30 . 2008-03-19 10:33:52 149504 —-a-w- C:Program FilesUNWISE.EXE
2005-09-19 07:12:00 . 2007-08-24 17:09:56 44158 —-a-w- C:Program Filesmozilla firefoxcomponentsinspector.dll
.
Sigcheck
[-] 2004-09-17 05:16:00 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:WINDOWSsystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«AVP»=»C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe» [2010-04-06 10:18:56 208616][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregcombofix]
C:ComboFixCF11802.cfxxe [X][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQuickTime Task]
2008-12-25 15:30:06 77824 —-a-w- C:Program FilesQuickTimeqttask.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\Microsoft Office\Office12\groove.exe»=
«C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«C:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«C:\Program Files\Peers\Peers.exe»=
«C:\Program Files\uTorrent\uTorrent.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:@xpsp2res.dll,-22009R0 klbg;Kaspersky Lab Boot Guard Driver;C:WINDOWSsystem32driversklbg.sys [29.01.2008 17:29:38 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:WINDOWSsystem32driversklim5.sys [30.04.2008 17:06:48 24592]
S3 GAGPDrv;GAGPDrv; [x]
S3 hwusbdev;Huawei DataCard USB PNP Device;C:WINDOWSsystem32driversewusbdev.sys [01.01.2005 0:08:00 100480]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;C:Program FilesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [13.09.2006 4:24:24 2799808]
S4 sptd;sptd;C:WINDOWSsystem32driverssptd.sys [12.03.2008 19:31:19 639224]
.
.
Supplementary Scan
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
IE: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
IE: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
IE: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
IE: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
IE: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
FF — ProfilePath — C:Documents and SettingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — plugin: C:Program FilesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: C:Program FilesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll—- FIREFOX POLICIES —-
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.
- Для ответа в этой теме необходимо авторизоваться.
