- This topic has 17 ответов, 2 участника, and was last updated 16 years, 6 months назад by
.
-
Сообщения
-
Добрый день!
NOD32 находит c:WINDOWSsystem32catsrvp.dll Win32/Rootkit.Podnuha но удалить не может — пишет доступ запрещен.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:52, on 07.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesIVT CorporationBlueSoleilBTNtService.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSExplorer.EXE
C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesAnalog DevicesSoundMAXSmax4.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:WINDOWSsystem32rundll32.exe
C:Program FilesVDOToolTBPanel.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesCommon FilesNeroLibNMBgMonitor.exe
C:Program FilesMicrosoft ActiveSyncWcescomm.exe
C:Program FilesNokiaNokia PC Suite 6PCSync2.exe
C:Program FilesNokiaNokia PC Suite 6PCSuite.exe
C:Program FilesCommon FilesNeroLibNMIndexingService.exe
C:PROGRA~1MI3AA1~1rapimgr.exe
C:Program FilesIVT CorporationBlueSoleilBlueSoleil.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:Program FilesCommon FilesNeroLibNMIndexStoreSvr.exe
C:Program FilesQIPqip.exe
C:Program FilesPC Connectivity SolutionTransportsNclUSBSrv.exe
C:Program FilesPC Connectivity SolutionTransportsNclRSSrv.exe
C:Program FilesCommon FilesNokiaMPAPIMPAPI3s.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesNLNLDealerNLDealer.exe
C:Program FilestotalcmdTOTALCMD.EXE
C:Program FilesCommon FilesRealUpdate_OBrealsched.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINDOWSsystem32svchost.exe
C:Program FilesMicrosoft ActiveSyncWCESMgr.exe
C:Program FilesMicrosoft OfficeOffice10OUTLOOK.EXE
C:WINDOWSsystem32mstsc.exe
C:Program FilesMetaTrader 4terminal.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: RealPlayer Download and Record Plugin for Internet Explorer — {3049C3E9-B461-4BC5-8870-4C09146192CA} — C:Program FilesRealRealPlayerrpbrowserrecordplugin.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_02binssv.dll
O2 — BHO: (no name) — {F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5} — C:WINDOWSsystem32catsrvp.dll
O4 — HKLM..Run: [IAAnotif] «C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe»
O4 — HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCoresmax4pnp.exe
O4 — HKLM..Run: [SoundMAX] «C:Program FilesAnalog DevicesSoundMAXSmax4.exe» /tray
O4 — HKLM..Run: [JMB36X IDE Setup] C:WINDOWSRaidToolxInsIDE.exe
O4 — HKLM..Run: [36X Raid Configurer] C:WINDOWSsystem32xRaidSetup.exe boot
O4 — HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesNeroLibNeroCheck.exe
O4 — HKLM..Run: [NBKeyScan] «C:Program FilesNeroNero8Nero BackItUpNBKeyScan.exe»
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKLM..Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 — HKLM..Run: [Scktsrvr for RgSr4] C:PROGRA~1REGIST~1ServerBinscktsrvr.exe
O4 — HKLM..Run: [Gainward] C:Program FilesVDOToolTBPanel.exe /A
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [TkBellExe] «C:Program FilesCommon FilesRealUpdate_OBrealsched.exe» -osboot
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [amva] C:WINDOWSsystem32amvo.exe
O4 — HKCU..Run: [NVIDIA nTune] «C:Program FilesNVIDIA CorporationnTunenTuneCmd.exe» clear
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesNeroLibNMBgMonitor.exe»
O4 — HKCU..Run: [H/PC Connection Agent] «C:Program FilesMicrosoft ActiveSyncWcescomm.exe»
O4 — HKCU..Run: [Nokia.PCSync] «C:Program FilesNokiaNokia PC Suite 6PCSync2.exe» /NoDialog
O4 — HKCU..Run: [PC Suite Tray] «C:Program FilesNokiaNokia PC Suite 6PCSuite.exe» -onlytray
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Startup: Adobe Gamma.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 — Startup: QIP 2005.lnk = C:Program FilesQIPqip.exe
O4 — Global Startup: BlueSoleil.lnk = ?
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_02binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_02binssv.dll
O9 — Extra button: Create Mobile Favorite — {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} — C:PROGRA~1MI3AA1~1INetRepl.dll
O9 — Extra button: (no name) — {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} — C:PROGRA~1MI3AA1~1INetRepl.dll
O9 — Extra ‘Tools’ menuitem: Добавить в избранное мобильного устройства… — {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} — C:PROGRA~1MI3AA1~1INetRepl.dll
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 — DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) — http://www.netlab.ru/java/jre-6u2-windows-i586-p-s.exe
O17 — HKLMSystemCCSServicesTcpip..{7F134F2C-57D2-4BD5-9782-42A60BB0D76D}: NameServer = 192.168.1.1
O23 — Service: Adobe LM Service — Adobe Systems — C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 — Service: BlueSoleil Hid Service — Unknown owner — C:Program FilesIVT CorporationBlueSoleilBTNtService.exe
O23 — Service: Eset HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: Eset Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) — Intel Corporation — C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Event Log Watch (LogWatch) — Computer Associates — C:Program FilesCASharedComponentsCA_LICLogWatNT.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Nero BackItUp Scheduler 3 — Nero AG — C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesNeroLibNMIndexingService.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — c:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 9397 bytesЗдравствуйте, добро пожаловать на Spyware-ru форум.
В HijackThis логе присутствует строка, которая описывает autorun.inf троян.
O4 - HKCU..Run: [amva] C:WINDOWSsystem32amvo.exe
Поэтому перед тем как мы приступим к лечению компьютера надо разобраться именно с описанным выше трояном, иначе возможно новое заражение компьютера.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.
Затем скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Все сделал!
Ниже лог ComboFix
ComboFix 08-11-06.01 — Юрий 2008-11-07 16:33:22.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1446 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
* Created a new restore point
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowsIE4 Error Log.txt
c:windowssystem32Cfx32.lic
c:windowssystem32cfx32.ocx
c:windowssystem32catsrvp.dll . . . . failed to delete.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_GOOGLE_ONLINE_SEARCH_SERVICE((((((((((((((((((((((((( Files Created from 2008-10-07 to 2008-11-07 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com
2008-10-25 11:54 . 2004-08-17 17:04 93,184 —a
c:windowssystem32catsrvp.dll
2008-10-07 13:36 . 2001-09-30 18:10 246,784 —a
c:windowssystem32ActiveSkin.ocx
2008-10-07 13:36 . 2001-05-24 11:59 162,304 —a
C:UNWISE.EXE
2008-10-07 13:36 . 2002-01-18 17:12 112 —a
c:windowsActiveSkin.INI.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2008-08-22 05:55 499,712 —-a-w c:windowssystem32msvcp71.dll
2008-08-22 05:55 348,160 —-a-w c:windowssystem32msvcr71.dll
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
2004-08-17 17:04 93184 —a
c:windowssystem32catsrvp.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinav07.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf72.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinef50.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinfd72.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWiniv13.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmv35.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinpc26.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqo52.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinvj26.sys]
@=»Driver»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyf50.sys]
@=»Driver»[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR0 oclpbazx;oclpbazx;c:windowssystem32driversoclpbazx.sys [2001-10-20 23424]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S0 Winav07;Winav07;c:windowssystem32DriversWinav07.sys [ ]
S0 Winbf72;Winbf72;c:windowssystem32DriversWinbf72.sys [ ]
S0 Winef50;Winef50;c:windowssystem32DriversWinef50.sys [ ]
S0 Winfd72;Winfd72;c:windowssystem32DriversWinfd72.sys [ ]
S0 Winiv13;Winiv13;c:windowssystem32DriversWiniv13.sys [ ]
S0 Winmv35;Winmv35;c:windowssystem32DriversWinmv35.sys [ ]
S0 Winpc26;Winpc26;c:windowssystem32DriversWinpc26.sys [ ]
S0 Winqo52;Winqo52;c:windowssystem32DriversWinqo52.sys [ ]
S0 Winvj26;Winvj26;c:windowssystem32DriversWinvj26.sys [ ]
S0 Winyf50;Winyf50;c:windowssystem32DriversWinyf50.sys [ ]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ec68fc4c-5713-11dd-9a03-001d60c920d3}]
Shellcmd1Command — J:copy.cmd
.
Contents of the ‘Scheduled Tasks’ folder2008-11-06 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-10-31 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-06 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.
— — — — ORPHANS REMOVED — — — —HKCU-Run-NVIDIA nTune — c:program filesNVIDIA CorporationnTunenTuneCmd.exe
HKLM-Run-Scktsrvr for RgSr2 — (no file)
HKLM-Run-Scktsrvr for RgSr — (no file)
HKLM-Run-Scktsrvr for RgSr3 — (no file)
SafeBoot-Winua63.sys.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
O17 -: HKLMCCSInterface{7F134F2C-57D2-4BD5-9782-42A60BB0D76D}: NameServer = 192.168.1.1
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 16:39:55
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-07 16:43:42 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-07 11:43:39Pre-Run: 291 424 940 032 байт свободно
Post-Run: 293,075,283,968 байт свободно206
Заражение оказалось серьезнее, чем выглядело на первый взгляд в HijackThis логе.
Продолжим лечение.
Откройте блокнот и вставьте в него следующий текст:KillAll::
File::
c:windowssystem32catsrvp.dll
c:windowssystem32DriversWinav07.sys
c:windowssystem32DriversWinbf72.sys
c:windowssystem32DriversWinef50.sys
c:windowssystem32DriversWinfd72.sys
c:windowssystem32DriversWiniv13.sys
c:windowssystem32DriversWinmv35.sys
c:windowssystem32DriversWinpc26.sys
c:windowssystem32DriversWinqo52.sys
c:windowssystem32DriversWinvj26.sys
c:windowssystem32DriversWinyf50.sys
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinav07.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinef50.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinfd72.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWiniv13.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmv35.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinpc26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqo52.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinvj26.sys]
[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyf50.sys]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ec68fc4c-5713-11dd-9a03-001d60c920d3}]
Driver::
Winav07
Winbf72
Winef50
Winfd72
Winiv13
Winmv35
Winpc26
Winqo52
Winvj26
Winyf50Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
По окончанию работы Combofix будет создан новый лог файл, пожалуйста вставьте его в ваше ответное сообщение.
Сделал!
ComboFix 08-11-06.01 — Юрий 2008-11-07 20:23:23.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1525 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
Command switches used :: c:documents and settingsЮрийРабочий столComboFixCFScript.txt
* Created a new restore point
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32catsrvp.dll
c:windowssystem32DriversWinav07.sys
c:windowssystem32DriversWinbf72.sys
c:windowssystem32DriversWinef50.sys
c:windowssystem32DriversWinfd72.sys
c:windowssystem32DriversWiniv13.sys
c:windowssystem32DriversWinmv35.sys
c:windowssystem32DriversWinpc26.sys
c:windowssystem32DriversWinqo52.sys
c:windowssystem32DriversWinvj26.sys
c:windowssystem32DriversWinyf50.sys
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32catsrvp.dll . . . . failed to delete
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Service_Winav07
Service_Winbf72
Service_Winef50
Service_Winfd72
Service_Winiv13
Service_Winmv35
Service_Winpc26
Service_Winqo52
Service_Winvj26
Service_Winyf50((((((((((((((((((((((((( Files Created from 2008-10-07 to 2008-11-07 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com
2008-10-25 11:54 . 2004-08-17 17:04 93,184 —a
c:windowssystem32catsrvp.dll
2008-10-07 13:36 . 2001-09-30 18:10 246,784 —a
c:windowssystem32ActiveSkin.ocx
2008-10-07 13:36 . 2001-05-24 11:59 162,304 —a
C:UNWISE.EXE
2008-10-07 13:36 . 2002-01-18 17:12 112 —a
c:windowsActiveSkin.INI.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
2004-08-17 17:04 93184 —a
c:windowssystem32catsrvp.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR0 oclpbazx;oclpbazx;c:windowssystem32driversoclpbazx.sys [2001-10-20 23424]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992]
.
Contents of the ‘Scheduled Tasks’ folder2008-11-06 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-10-31 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-06 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 20:29:12
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-07 20:32:58 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-07 15:32:55
ComboFix2.txt 2008-11-07 13:28:46
ComboFix3.txt 2008-11-07 11:43:43Pre-Run: 292 957 896 704 байт свободно
Post-Run: 292,949,020,672 байт свободно179
Combofix отработал неплохо, но не удалил один файл.
Воспользуемся другой программой.Скачайте программу Avenger и распакуйте её на Рабочий стол.
Запустите и скопируйте ниже приведённый текст в Input script Box:Files to delete:
c:windowssystem32catsrvp.dll
Registry keys to delete:
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerBrowser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.Сделал!
Вот лог:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.Backups directory opened successfully at C:Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!Error: could not open file «c:windowssystem32catsrvp.dll»
Deletion of file «c:windowssystem32catsrvp.dll» failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)Error: could not open registry key «HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerBrowser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}» for deletion
Deletion of registry key «HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerBrowser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}» failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)Completed script processing.
*******************
Finished! Terminate.
Хмм, Avenger так же не смог удалить это файл.
Пожалуйста запустите Combofix ещё раз, будет создан лог файл.
Вставьте его в ваш ответ.Сделал, следующий лог:
ComboFix 08-11-09.01 — Юрий 2008-11-10 11:20:49.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1487 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
* Created a new restore point
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32catsrvp.dll . . . . failed to delete
.
((((((((((((((((((((((((( Files Created from 2008-10-10 to 2008-11-10 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-30 13:20 . 2008-10-29 09:33 79,195,624 —a
C:Буклет последний.cdr
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com
2008-10-25 11:54 . 2004-08-17 17:04 93,184 —a
c:windowssystem32catsrvp.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2008-08-22 05:55 499,712 —-a-w c:windowssystem32msvcp71.dll
2008-08-22 05:55 348,160 —-a-w c:windowssystem32msvcr71.dll
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
2004-08-17 17:04 93184 —a
c:windowssystem32catsrvp.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR0 oclpbazx;oclpbazx;c:windowssystem32driversoclpbazx.sys [2001-10-20 23424]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992]
.
Contents of the ‘Scheduled Tasks’ folder2008-11-09 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-11-07 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-09 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
O17 -: HKLMCCSInterface{7F134F2C-57D2-4BD5-9782-42A60BB0D76D}: NameServer = 192.168.1.1
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 11:25:04
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-10 11:29:06 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-10 06:29:02
ComboFix2.txt 2008-11-07 15:32:59
ComboFix3.txt 2008-11-07 13:28:46
ComboFix4.txt 2008-11-07 11:43:43Pre-Run: 292 919 205 888 байт свободно
Post-Run: 292,907,962,368 байт свободно160
Удалите раннее созданный нами файл CFScript.
Откройте блокнот и вставьте в него следующий текст:KillAll::
Driver::
oclpbazx
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ec68fc4c-5713-11dd-9a03-001d60c920d3}]
File::
c:windowssystem32catsrvp.dll
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix.Сделал!
ComboFix 08-11-09.01 — Юрий 2008-11-10 11:58:05.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1494 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
Command switches used :: c:documents and settingsЮрийРабочий столComboFixCFScript.txt
* Created a new restore point
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32catsrvp.dll
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32catsrvp.dll . . . . failed to delete
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_OCLPBAZX
Service_oclpbazx((((((((((((((((((((((((( Files Created from 2008-10-10 to 2008-11-10 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-30 13:20 . 2008-10-29 09:33 79,195,624 —a
C:Буклет последний.cdr
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com
2008-10-25 11:54 . 2004-08-17 17:04 93,184 —a
c:windowssystem32catsrvp.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2008-08-22 05:55 499,712 —-a-w c:windowssystem32msvcp71.dll
2008-08-22 05:55 348,160 —-a-w c:windowssystem32msvcr71.dll
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
2004-08-17 17:04 93184 —a
c:windowssystem32catsrvp.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR0 oclpbazx;oclpbazx;c:windowssystem32driversoclpbazx.sys [2001-10-20 23424]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992]*Newly Created Service* — CATCHME
*Newly Created Service* — OCLPBAZX
.
Contents of the ‘Scheduled Tasks’ folder2008-11-09 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-11-07 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-09 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 12:02:25
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-10 12:06:06 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-10 07:06:02
ComboFix2.txt 2008-11-10 06:29:06
ComboFix3.txt 2008-11-07 15:32:59
ComboFix4.txt 2008-11-07 13:28:46
ComboFix5.txt 2008-11-10 06:55:57Pre-Run: 292 886 253 568 байт свободно
Post-Run: 292,876,251,136 байт свободно163
Попробуйте ещё раз. Удалите раннее созданный нами файл CFScript.
Откройте блокнот и вставьте в него следующий текст:KillAll::
Driver::
oclpbazx
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
File::
c:windowssystem32driversoclpbazx.sys
c:windowssystem32catsrvp.dllЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix.Будет создан новый лог, вставьте его в ваш ответ.
Сделал. Перед перезагрузкой компьютера в процессе работы ComboFix выскочило окно Catchme — ошибка при инициализации службы …
после перезагрузки все файлы на месте (
вот новый лог:ComboFix 08-11-09.01 — Юрий 2008-11-10 15:41:25.6 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1528 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32catsrvp.dll . . . . failed to delete
.
((((((((((((((((((((((((( Files Created from 2008-10-10 to 2008-11-10 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com
2008-10-25 11:54 . 2004-08-17 17:04 93,184 —a
c:windowssystem32catsrvp.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2008-08-22 05:55 499,712 —-a-w c:windowssystem32msvcp71.dll
2008-08-22 05:55 348,160 —-a-w c:windowssystem32msvcr71.dll
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
2004-08-17 17:04 93184 —a
c:windowssystem32catsrvp.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR0 oclpbazx;oclpbazx;c:windowssystem32driversoclpbazx.sys [2001-10-20 23424]
R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992]
.
Contents of the ‘Scheduled Tasks’ folder2008-11-09 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-11-07 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-09 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
O17 -: HKLMCCSInterface{7F134F2C-57D2-4BD5-9782-42A60BB0D76D}: NameServer = 192.168.1.1
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 15:47:32
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-10 15:54:33 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-10 10:54:29
ComboFix2.txt 2008-11-10 07:06:07
ComboFix3.txt 2008-11-10 06:29:06
ComboFix4.txt 2008-11-07 15:32:59
ComboFix5.txt 2008-11-10 10:40:45Pre-Run: 292 854 587 392 байт свободно
Post-Run: 292,846,440,448 байт свободно160
Попробуйте еще раз запустить последний скрипт файл.
KillAll::
Driver::
oclpbazx
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{F026D7E8-4C41-4A89-A8B7-0FE2C52BF2B5}]
File::
c:windowssystem32driversoclpbazx.sys
c:windowssystem32catsrvp.dllСудя по логу, скрипт не выполнился.
Сделал!
ComboFix 08-11-09.01 — Юрий 2008-11-10 16:26:38.7 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1512 [GMT 5:00]
Running from: c:documents and settingsЮрийРабочий столComboFixComboFix.exe
Command switches used :: c:documents and settingsЮрийРабочий столComboFixCFScript.txt
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32catsrvp.dll
c:windowssystem32driversoclpbazx.sys
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32catsrvp.dll
c:windowssystem32driversoclpbazx.sys.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_OCLPBAZX
Service_oclpbazx((((((((((((((((((((((((( Files Created from 2008-10-10 to 2008-11-10 )))))))))))))))))))))))))))))))
.2008-11-06 17:00 . 2008-11-06 17:00 8,675 —a
c:windowsFontData.fdb
2008-10-28 13:57 . 2008-10-28 13:57d
c:program filesTrend Micro
2008-10-28 13:15 . 2008-10-28 13:15d
c:program filesMalwarebytes’ Anti-Malware
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-28 13:15d
c:documents and settingsЮрийApplication DataMalwarebytes
2008-10-28 13:15 . 2008-10-22 16:10 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-10-28 13:15 . 2008-10-22 16:10 15,504 —a
c:windowssystem32driversmbam.sys
2008-10-28 12:16 . 2008-10-28 12:16d
c:program fileswww.freewordexcelpassword.com.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 08:38
d
w c:documents and settingsЮрийApplication DataNLDealer
2008-10-07 08:06
d
w c:documents and settingsЮрийApplication DataPC Suite
2008-10-03 07:34
d
w c:program filesQIP Infium
2008-10-03 07:34
d
w c:documents and settingsЮрийApplication DataQIP
2008-09-10 13:09 20,656 —-a-w c:documents and settingsЮрийApplication DataGDIPFONTCACHEV1.DAT
2008-08-22 05:55 499,712 —-a-w c:windowssystem32msvcp71.dll
2008-08-22 05:55 348,160 —-a-w c:windowssystem32msvcr71.dll
2006-06-23 06:48 32,768 —-a-r c:windowsinfUpdateUSB.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-10-23 202024]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncWcescomm.exe» [2006-11-13 1289000]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-03-21 174872]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«JMB36X IDE Setup»=»c:windowsRaidToolxInsIDE.exe» [2007-03-20 36864]
«36X Raid Configurer»=»c:windowssystem32xRaidSetup.exe» [2007-03-21 1953792]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-09-20 1836328]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-03-13 1443072]
«Scktsrvr for RgSr4″=»c:progra~1REGIST~1ServerBinscktsrvr.exe» [2002-08-09 678400]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-11-27 2169368]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-05-02 13529088]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2008-05-02 86016]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-08-22 185896]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2004-08-17 c:windowssystem32bthprops.cpl][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsћаЁ©ѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
QIP 2005.lnk — c:program filesQIPqip.exe [2008-07-01 3256320]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2008-04-30 1044480][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\totalcmd\TOTALCMD.EXE»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1005MC.EXE»=
«c:\Program Files\Casino.Net\casino.exe»=
«c:\WINDOWS\system32\ftp.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\FRONTPG.EXE»=
«c:\Games\OrangeBox\Steam\SteamApps\limbobimbo\team fortress 2\hl2.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Sprite Software\Sprite Backup\spriteservice.exe»=
«c:\projects\Мединком\LPU\Projects\MServer\MServer.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«1433:TCP»= 1433:TCP:SQL SERVER
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2008-03-13 33800]
R1 hwinterface;hwinterface;c:windowssystem32Drivershwinterface.sys [2008-05-20 3026]
R2 LogWatch;Event Log Watch;c:program filesCASharedComponentsCA_LICLogWatNT.exe [2005-02-24 53248]
S3 TEUSBMU;Panasonic Analog PBX USB Main Unit driver;c:windowssystem32DriversTEUSBMU.sys [2005-01-14 20992]*Newly Created Service* — OCLPBAZX
.
Contents of the ‘Scheduled Tasks’ folder2008-11-09 c:windowsTasksMLCardsAgent ACTIVATEPOINT.job
— c:projects [2008-10-08 10:11]2008-11-07 c:windowsTasksMLCardsAgent BACKUP.job
— c:projects [2008-10-08 10:11]2008-11-09 c:windowsTasksMLCardsAgent CALCOPT.job
— c:projects [2008-10-08 10:11]
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 16:33:25
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesESETESET NOD32 Antivirusekrn.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesCommon FilesMicrosoft SharedVS7DebugMDM.EXE
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32rundll32.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
c:progra~1MI3AA1~1rapimgr.exe
c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
.
**************************************************************************
.
Completion time: 2008-11-10 16:39:38 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-10 11:39:33
ComboFix2.txt 2008-11-10 10:54:34
ComboFix3.txt 2008-11-10 07:06:07
ComboFix4.txt 2008-11-10 06:29:06
ComboFix5.txt 2008-11-10 11:25:04Pre-Run: 292 930 945 024 байт свободно
Post-Run: 292,920,872,960 байт свободно158
- Для ответа в этой теме необходимо авторизоваться.
