- This topic has 25 ответов, 2 участника, and was last updated 16 years, 1 month назад by
.
-
Сообщения
-
Проверим ваш компьютер с помощью программы которая ищет руткиты.
Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.Вставьте получившийся лог в ваше следующее сообщение.
Доброго времени суток!
Уезжал на неделю в командировку, поэтому был небольшой перерыв.
Запустить-то программу GMER я запустил, но вот завершить свою работу она у меня не хочет. Сейчас уже не помню, но кажется вываливается BSOD. В любом случае приложить логи не могу. Однако есть и хорошая новость. За прошедшую неделю использования Windows вирус/троян/руткит себя не проявлял (судя по отсутствию «ругани» NOD32).
Как бы убедиться в том, что можно жить спокойно?
Пришлите новый Combofix лог, только перед этим скачайте свежую версию программы.
Вот последний лог ComboFix
ComboFix 09-03-02.01 — User 2009-03-02 21:11:49.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.1535.908 [GMT 3:00]
Running from: C:ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated)
AV: Panda Antivirus Platinum 7 *On-access scanning disabled* (Outdated)
FW: Panda Antivirus Platinum 7 *disabled*
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2009-02-02 to 2009-03-02 )))))))))))))))))))))))))))))))
.2009-03-02 21:05 . 2009-03-02 21:09 2,933,037 -ra
C:ComboFix.exe
2009-03-01 00:31 . 2009-01-09 22:19 1,089,593
c— c:windowssystem32dllcachentprint.cat
2009-02-27 22:37 . 2009-02-27 22:37d
c:documents and settingsUserWINDOWS
2009-02-27 22:37 . 2009-02-27 22:37d
c:documents and settingsUserWINDOWS
2009-02-23 17:16 . 2009-02-28 12:30d
c:temppmagic
2009-02-22 21:05 . 2009-02-22 21:05 4,444 —a
c:windowssystem32pid.PNF
2009-02-21 22:36 . 2009-02-21 22:36d
c:documents and settingsUserApplication DataImgBurn
2009-02-15 12:50 . 2009-02-15 12:50 72,192 —a
c:windowscadkasdeinst01e.exe
2009-02-14 12:35 . 2009-02-14 12:35d—hs—- c:documents and settingsБэттаPrivacIE
2009-02-14 12:35 . 2009-02-14 12:35d—hs—- c:documents and settingsБэттаPrivacIE
2009-02-14 12:35 . 2009-02-14 12:35d
c:documents and settingsБэттаApplication DataWindows Desktop Search
2009-02-14 12:35 . 2009-02-14 12:35d
c:documents and settingsБэттаApplication DataPCToolsFirewallPlus
2009-02-14 12:34 . 2009-02-14 12:34d—hs—- c:documents and settingsБэттаIETldCache
2009-02-14 12:34 . 2009-02-14 12:34d—hs—- c:documents and settingsБэттаIETldCache
2009-02-13 22:02 . 2009-02-13 22:10 250 —a
c:windowsgmer.ini
2009-02-11 23:52 . 2009-02-11 23:52d
c:windowssystem32XPSViewer
2009-02-11 23:51 . 2009-02-11 23:51d
c:program filesReference Assemblies
2009-02-11 23:51 . 2008-07-06 15:06 1,676,288
c:windowssystem32xpssvcs.dll
2009-02-11 23:51 . 2008-07-06 15:06 1,676,288
c— c:windowssystem32dllcachexpssvcs.dll
2009-02-11 23:51 . 2008-07-06 13:50 597,504
c— c:windowssystem32dllcacheprintfilterpipelinesvc.exe
2009-02-11 23:51 . 2008-07-06 15:06 575,488
c:windowssystem32xpsshhdr.dll
2009-02-11 23:51 . 2008-07-06 15:06 575,488
c— c:windowssystem32dllcachexpsshhdr.dll
2009-02-11 23:51 . 2008-07-06 15:06 117,760
c:windowssystem32prntvpt.dll
2009-02-11 23:51 . 2008-07-06 15:06 89,088
c— c:windowssystem32dllcachefilterpipelineprintproc.dll
2009-02-11 23:01 . 2009-02-11 23:01d
c:temp1
2009-02-11 20:02 . 2009-02-11 20:04d
c:temphsperfdata_Administrator
2009-02-11 19:40 . 2009-02-11 19:40d—hs—- c:documents and settingsAdministratorPrivacIE
2009-02-11 19:40 . 2009-02-11 19:40d—hs—- c:documents and settingsAdministratorIETldCache
2009-02-11 18:41 . 2009-02-11 18:41d
c:tempru-ru
2009-02-11 18:41 . 2009-02-11 18:41d
c:tempen-us
2009-02-11 18:41 . 2009-02-11 18:41d
c:documents and settingsAdministratorApplication DataWindows Desktop Search
2009-02-11 18:40 . 2009-02-11 18:40d
c:tempWPDNSE
2009-02-08 21:50 . 2009-02-08 21:50 210,052 —a
c:windowssystem32SII-TT-0021B.pdf
2009-02-08 17:31 . 2009-03-02 19:30d
c:program filesMicrosoft Silverlight
2009-02-08 17:30 . 2009-02-08 17:30d
c:windowssystem32GroupPolicy
2009-02-08 17:30 . 2009-02-27 22:24d
c:program filesWindows Desktop Search
2009-02-08 17:29 . 2008-03-07 20:02 192,000
c— c:windowssystem32dllcacheofffilt.dll
2009-02-08 17:29 . 2008-03-07 20:02 98,304
c— c:windowssystem32dllcachenlhtml.dll
2009-02-08 17:29 . 2008-03-07 20:02 29,696
c— c:windowssystem32dllcachemimefilt.dll
2009-02-07 23:21 . 2009-02-07 23:21d—hs—- c:documents and settingsUserIETldCache
2009-02-07 23:21 . 2009-02-07 23:21d—hs—- c:documents and settingsUserIETldCache
2009-02-07 22:46 . 2009-02-07 22:46d
c:windowsie8updates
2009-02-07 22:43 . 2009-02-07 22:44d—h-c— c:windowsie8
2009-02-07 22:40 . 2009-01-11 08:00 79,360
c— c:windowssystem32dllcacheiecompat.dll
2009-02-07 20:56 . 2009-02-07 20:56d—hs—- c:documents and settingsUserPrivacIE
2009-02-07 20:56 . 2009-02-07 20:56d—hs—- c:documents and settingsUserPrivacIE
2009-02-07 18:21 . 2009-02-07 18:21d
c:program filesWindows Media Connect 2
2009-02-07 18:08 . 2009-02-07 18:08d
c:windowssystem32LogFiles
2009-02-07 18:08 . 2009-02-07 18:14d
c:windowssystem32driversUMDF
2009-02-07 15:50 . 2009-02-07 15:50d
c:windowssystem32CatRoot_bak
2009-02-07 15:09 . 2008-04-13 22:06 144,384
c:windowssystem32drivershdaudbus.sys
2009-02-07 15:09 . 2008-04-14 00:10 10,240
c:windowssystem32driverssffp_mmc.sys
2009-02-07 15:06 . 2006-12-29 00:31 19,569 —a
c:windows003610_.tmp
2009-02-06 22:20 . 2009-03-02 19:35d
c:program filesDNA
2009-02-06 22:20 . 2009-03-02 21:15d
c:documents and settingsUserApplication DataDNA
2009-02-06 22:20 . 2009-03-02 21:10d
c:documents and settingsUserApplication DataBitTorrent
2009-02-06 21:43 . 2009-02-06 21:43d—hs—- c:tempRECYCLER
2009-02-06 21:37 . 2009-03-02 21:16d
c:tempenforcer
2009-02-04 21:59 . 2009-02-04 21:59d
c:windowssystem32Kaspersky Lab
2009-02-04 21:59 . 2009-02-04 21:59d
c:documents and settingsAll UsersApplication DataKaspersky Lab
2009-02-04 21:42 . 2009-02-04 22:28d
c:program filesWindows Live Safety Center
2009-02-02 20:47 . 2009-02-02 20:47d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-02-02 20:47 . 2009-02-02 20:47d
c:documents and settingsUserApplication DataMalwarebytes
2009-02-02 20:47 . 2009-02-11 10:19 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-02-02 20:47 . 2009-02-11 10:19 15,504 —a
c:windowssystem32driversmbam.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-02 18:10
d
w c:documents and settingsUserApplication DataSkype
2009-03-02 16:57
d—a-w c:documents and settingsAll UsersApplication DataTEMP
2009-03-02 16:57
d
w c:program filesSpyware Doctor
2009-03-02 16:37
d
w c:documents and settingsUserApplication DataskypePM
2009-03-02 16:32
d
w c:documents and settingsAll UsersApplication DataGoogle Updater
2009-02-28 08:36
d
w c:program filesD-Link
2009-02-27 18:15
d
w c:program filesCommon FilesPC Tools
2009-02-27 18:14
d
w c:program filesGoogle
2009-02-21 21:41
d
w c:documents and settingsUserApplication Datavlc
2009-02-20 20:57
d
w c:documents and settingsUserApplication Datadvdcss
2009-02-11 21:32
d
w c:documents and settingsAll UsersApplication DataMicrosoft Help
2009-02-11 20:52
d
w c:program filesMSBuild
2009-02-09 17:01
d—h—w c:program filesInstallShield Installation Information
2009-02-07 13:11
d
w c:documents and settingsUserApplication DatauTorrent
2009-02-01 14:30
d
w c:program filesPanda Security
2009-02-01 13:02
d
w c:program filesCodeSaver
2009-02-01 12:32
d
w c:program filesCommon FilesLogiShrd
2009-02-01 12:29
d
w c:program filesLogitech
2009-02-01 12:29
d
w c:documents and settingsAll UsersApplication DataLogishrd
2009-01-31 21:01
d
w c:program filestrend micro
2009-01-31 17:35
d
w c:documents and settingsAdministratorApplication DataAuslogics
2009-01-29 18:22
d
w c:documents and settingsAdministratorApplication DataOpenOffice.org
2009-01-29 17:43
d
w c:documents and settingsAdministratorApplication DataGrabPro
2009-01-29 17:42
d
w c:documents and settingsAdministratorApplication DataOrbit
2009-01-29 17:38
d
w c:documents and settingsAdministratorApplication DataPCToolsFirewallPlus
2009-01-29 17:34
d
w c:documents and settingsUserApplication DataOrbit
2009-01-17 13:39
d
w c:documents and settingsUserApplication DataPCToolsFirewallPlus
2009-01-15 20:34
d
w c:program filesCOMODO
2009-01-15 19:29
d
w c:program filesCommon FilesReal
2009-01-15 04:55
d
w c:documents and settingsБэттаApplication DataOrbit
2009-01-14 23:05 911,872 —-a-w c:windowssystem32wininet.dll
2009-01-14 23:05 43,008 —-a-w c:windowssystem32licmgr10.dll
2009-01-14 23:04 18,944 —-a-w c:windowssystem32corpol.dll
2009-01-14 23:03 72,704 —-a-w c:windowssystem32admparse.dll
2009-01-14 23:03 71,680 —-a-w c:windowssystem32iesetup.dll
2009-01-14 23:03 420,352 —-a-w c:windowssystem32vbscript.dll
2009-01-14 23:01 34,304 —-a-w c:windowssystem32imgutil.dll
2009-01-14 23:00 48,128 —-a-w c:windowssystem32mshtmler.dll
2009-01-14 23:00 45,568 —-a-w c:windowssystem32mshta.exe
2009-01-14 22:50 156,160 —-a-w c:windowssystem32msls31.dll
2009-01-12 21:17
d
w c:program filesKMPlayer
2009-01-12 19:18 68,096 —-a-w c:windowsScUnin.exe
2009-01-11 20:49
d
w c:program filesStarCraft
2009-01-11 20:05
d
w c:documents and settingsUserApplication DataStarDict
2009-01-11 20:04
d
w c:program filesStarDict
2009-01-11 18:03
d
w c:program filesRealtek AC97
2009-01-11 16:54
d
w c:program filesCommon FilesAdobe AIR
2009-01-10 11:02
d
w c:program filesCanon
2009-01-09 11:06
d
w c:program filesMicrosoft Works
2009-01-09 10:52
d
w c:program filesMicrosoft Visual Studio 8
2009-01-09 08:14
d
w c:program filesMicrosoft CAPICOM
2009-01-08 20:59
d
w c:program filesMicrosoft Baseline Security Analyzer 2
2009-01-06 14:05
d
w c:documents and settingsUserApplication DataCanneverbe_Limited
2009-01-05 22:33 3,751,995 —-a-w c:windowssystem32GPhotos.scr
2009-01-01 11:33 35,912 —-a-w c:documents and settingsUserApplication DataGDIPFONTCACHEV1.DAT
2008-12-17 06:01 432,664 —-a-w c:windowssystem32LVUI2RC.dll
2008-12-17 06:00 494,104 —-a-w c:windowssystem32LVUI2.dll
2008-12-17 05:55 416,280 —-a-w c:windowssystem32lvcodec2.dll
2008-12-17 05:55 195,096 —-a-w c:windowssystem32lvci11901262.dll
2008-12-17 05:37 29,562 —-a-w c:windowssystem32Repository.reg
2008-12-08 17:04 410,984 —-a-w c:windowssystem32deploytk.dll
2008-12-08 09:53 57,344 —-a-w c:windowssystem32ff_vfw.dll
2008-11-13 12:12 35,912 —-a-w c:documents and settingsБэттаApplication DataGDIPFONTCACHEV1.DAT
2008-02-13 17:45 32,128 —-a-w c:documents and settingsЛизунчикApplication DataGDIPFONTCACHEV1.DAT
2004-02-19 18:31 204 —-a-w c:documents and settingsUserccd4.reg
2004-02-19 18:31 204 —-a-w c:documents and settingsUserccd4.reg
2002-08-29 10:57 834,516 —-a-r c:windowsinfiis.tmp
2006-01-04 17:41 45,056 —-a-w c:program filesmozilla firefoxpluginsUPD62INT.dll
2005-04-16 12:30 56 —sh—r c:windowssystem320875F77CC7.sys
.((((((((((((((((((((((((((((( SnapShot_2009-02-10_20.21.14,62 )))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«googletalk»=»c:program filesGoogleGoogle Talkgoogletalk.exe» [2007-01-02 3739648]
«mRouterConfig»=»c:program filesIntuwaveSharedmRouterRuntimemRouterConfig.exe» [2006-03-02 290816]
«Auslogics BoostSpeed 4″=»z:program filesAusLogicsBoostSpeedboostspeed.exe» [2009-01-25 361584]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-11-07 21633320]
«IPPON MONITOR»=»z:program filesipponMonitorippmon_0_99_6.exe» [2005-08-07 847360]
«swg»=»c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe» [2007-11-03 68856]
«BitTorrent DNA»=»c:program filesDNAbtdna.exe» [2009-02-06 342848][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«Lingvo Launcher»=»c:program filesABBYY Lingvo 8.0Lvagent.exe» [2002-12-10 102400]
«NVRTCLK»=»c:windowssystem32NVRTCLKNVRTClk.exe» [2003-12-30 24576]
«PC Suite for Smartphones»=»c:program filesSony EricssonMobile4Application LauncherApplication Launcher.exe» [2007-12-25 548864]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2008-06-12 34672]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-08-29 61440]
«ZBrowser Launcher»=»z:program filesLogitechiTouchiTouch.exe» [2004-03-18 892928]
«SunJavaUpdateSched»=»z:program filesJavajre6binjusched.exe» [2008-12-08 136600]
«Sunkist2k»=»c:program filesMultimedia Card Readershwicon2k.exe» [2005-02-25 131072]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCamQuickcam.exe» [2008-12-20 2656528]
«ISTray»=»c:program filesSpyware DoctorpctsTray.exe» [2008-12-21 1168264]
«Logitech Utility»=»Logi_MwX.Exe» [2003-12-17 c:windowsLOGI_MWX.EXE]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2008-04-14 c:windowssystem32bthprops.cpl]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2008-04-14 15360]c:documents and settingsAdministratorStart MenuProgramsStartup
OpenOffice.org 3.0.lnk — z:program filesOpenOffice.org 3programquickstart.exe [2009-01-08 384000]c:documents and settings_пгиStart MenuProgramsStartup
OpenOffice.org 3.0.lnk — z:program filesOpenOffice.org 3programquickstart.exe [2009-01-08 384000]c:documents and settingsAll UsersStart MenuProgramsStartup
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2006-07-16 626176]
_аR_а ┐┐ RЎ-Rў<_-Ёc Google.lnk - c:program filesGoogleGoogle UpdaterGoogleUpdater.exe [2007-11-03 161776] [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3radius»= l3codecp.acm
«vidc.I263″= I263_32.drv
«msacm.divxa32″= msaud32_divx.acm[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ autocheck autochk *0smrgdf c:program filesiolosystem mechanic 4[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionrun-]
«CTFMON.EXE»=c:windowssystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun-]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe»
«RegKillElbyCheck»=»c:program filesElaborate BytesDVD Region KillerElbyCheck.exe» /L RegKill
«DAEMON Tools-1033″=»c:program filesD-Toolsdaemon.exe» -lang 1033[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringPandaAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringPandaFirewall]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\Program Files\Google\Google Talk\googletalk.exe»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=
«z:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe»=
«c:\Program Files\DNA\btdna.exe»=
«z:\Program Files\BitTorrent\bittorrent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2009-02-01 28544]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2008-07-01 34312]
R1 prodrv04;Star Force copy protection driver v4;c:windowssystem32driversprodrv04.sys [2004-04-16 114496]
R2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
R2 ETDrv;ETDrv;c:windowssystem32driversETDrv.sys [2003-12-12 151476]
R2 PGPdisk;PGPdisk;c:windowssystem32driversPGPdisk.sys [2004-12-10 169120]
R2 PGPsdkDriver;PGPsdkDriver;c:windowssystem32driversPGPsdk.sys [2004-12-10 26624]
R2 sdAuxService;PC Tools Auxiliary Service;c:program filesSpyware DoctorpctsAuxs.exe [2008-03-01 356920]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:windowssystem32driversm4cxw2k3.sys [2007-02-15 250752]
R3 RegKill;RegKill;c:windowssystem32driversRegKill.sys [2002-11-28 6400]
S2 gupdate1c9652ad837e686;Google Update Service (gupdate1c9652ad837e686);c:program filesGoogleUpdateGoogleUpdate.exe [2008-12-23 133104]
S2 PCTAppEvent;PCTAppEvent Driver;??c:windowssystem32driversPCTAppEvent.sys —> c:windowssystem32driversPCTAppEvent.sys [?]
S2 SVKP;SVKP; [x]
S3 ACSET;ACS USB Smart Card Reader;c:windowssystem32driversacrusbxp.sys [2006-11-27 25728]
S3 ACSSCR;ACR38 Smart Card Reader;c:windowssystem32driversa38usbxp.sys [2006-03-12 24832]
S3 cxbu0wdm;CardMan 3×21;c:windowssystem32driverscxbu0wdm.sys [2008-01-15 97792]
S3 OracleClientCache80;OracleClientCache80;c:oracleproduct8.0.6BINONRSD80.EXE —> c:oracleproduct8.0.6BINONRSD80.EXE [?]
S3 OracleOracle9iR2ClientCache;OracleOracle9iR2ClientCache;c:oracleproduct9.2.0BINONRSD.EXE —> c:oracleproduct9.2.0BINONRSD.EXE [?]
S3 OracleOracle9iR2HTTPServer;OracleOracle9iR2HTTPServer;»c:oracleproduct9.2.0ApacheApacheapache.exe» —ntservice —> c:oracleproduct9.2.0ApacheApacheapache.exe [?]
S3 OracleOracle9iR2PagingServer;OracleOracle9iR2PagingServer;c:oracleproduct9.2.0/bin/pagntsrv.exe —> c:oracleproduct9.2.0/bin/pagntsrv.exe [?]
S3 OracleOracle9iR2TNSListener;OracleOracle9iR2TNSListener;c:oracleproduct9.2.0BINTNSLSNR —> c:oracleproduct9.2.0BINTNSLSNR [?]
S3 OracleServiceCARBON;OracleServiceCARBON;c:oracleproduct9.2.0binORACLE.EXE CARBON —> c:oracleproduct9.2.0binORACLE.EXE CARBON [?]
S3 pcwe;pcwe;??c:program filesPC Wizard 2005pcwizard.sys —> c:program filesPC Wizard 2005pcwizard.sys [?]
S3 SE31bus;Sony Ericsson Device 049 Driver driver (WDM);c:windowssystem32driversSE31bus.sys [2006-10-15 61600]
S3 SE31mdfl;Sony Ericsson Device 049 USB WMC Modem Filter;c:windowssystem32driversSE31mdfl.sys [2006-10-15 9360]
S3 SE31mdm;Sony Ericsson Device 049 USB WMC Modem Driver;c:windowssystem32driversSE31mdm.sys [2006-10-15 97184]
S3 SE31mgmt;Sony Ericsson Device 049 USB WMC Device Management Drivers (WDM);c:windowssystem32driversSE31mgmt.sys [2006-10-15 88688]
S3 se31nd5;Sony Ericsson Device 049 USB Ethernet Emulation SEMC49 (NDIS);c:windowssystem32driversse31nd5.sys [2006-10-15 18704]
S3 SE31obex;Sony Ericsson Device 049 USB WMC OBEX Interface;c:windowssystem32driversSE31obex.sys [2006-10-15 86560]
S3 se31unic;Sony Ericsson Device 049 USB Ethernet Emulation SEMC49 (WDM);c:windowssystem32driversse31unic.sys [2006-10-15 90800]
S3 SkLaggProtocol;Marvell Link Aggregation Protocol (LAGG) Support;c:windowssystem32DRIVERSyk51lagg.sys —> c:windowssystem32DRIVERSyk51lagg.sys [?]
S3 SkVlanProtocol;Marvell Virtual LAN (VLAN) Support;c:windowssystem32driversskvlan.sys [2006-05-17 19328]
S4 Kbisunervpww;Kbisunervpww; [x]— Other Services/Drivers In Memory —
*Deregistered* — mchInjDrv
*Deregistered* — mscgcosd[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e9138ea2-7fdb-11db-8485-028037010300}]
ShellAutoRuncommand — I:umenu.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
«c:windowssystem32rundll32.exe» «c:windowssystem32iedkcs32.dll»,BrandIEActiveSetup SIGNUP
.
Contents of the ‘Scheduled Tasks’ folder2009-03-02 c:windowsTasksGoogle Software Updater.job
— c:program filesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe [2009-02-13 23:34]
.
.
Supplementary Scan
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/201
IE: &Grab video by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/204
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3Office12EXCEL.EXE/3000
IE: Add to Google Photos Screensa&ver — c:windowssystem32GPhotos.scr/200
IE: Do&wnload selected by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/203
IE: Down&load all by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/202
IE: Easy-WebPrint Add To Print List — c:program filesCanonEasy-WebPrintResource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print — c:program filesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview — c:program filesCanonEasy-WebPrintResource.dll/RC_Preview.html
IE: Easy-WebPrint Print — c:program filesCanonEasy-WebPrintResource.dll/RC_Print.html
IE: Закачать ВСЕ при помощи Download Master
IE: Закачать все при помощи FlashGet — z:program filesFlashGetjc_all.htm
IE: Закачать при помощи Download Master
IE: Закачать при помощи FlashGet — z:program filesFlashGetjc_link.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
Handler: bwfile-8876480 — {9462A756-7B47-47BC-8C80-C34B9B80B32B} — z:program filesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
Handler: yandexcd — {e519db43-cff1-11d1-be82-0000c0df45f8} — c:windowsYandexCD.dll
DPF: Microsoft XML Parser for Java — file://c:windowsJavaclassesxmldso.cab
DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} — hxxp://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
FF — ProfilePath — c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.default
FF — prefs.js: browser.search.selectedEngine — Orbit Search (Powered By Google)
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}componentsnstidy.dll
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{cf2812dc-6a7c-4402-b639-4d277dac4c36}componentsschemval.dll
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{cf2812dc-6a7c-4402-b639-4d277dac4c36}componentsxforms.dll
FF — plugin: c:program filesGoogleGoogle Updater2.4.1487.6512npCIDetect13.dll
FF — plugin: c:program filesGoogleUpdate1.2.141.5npGoogleOneClick7.dll
FF — plugin: z:program filesGooglePicasa3npPicasa3.dll
FF — plugin: z:program filesJavajre6binnew_pluginnpdeploytk.dll
FF — plugin: z:program filesJavajre6binnew_pluginnpjp2.dll
FF — plugin: z:program filesMozillaFirefoxpluginsnpbittorrent.dll—- FIREFOX POLICIES —-
FF — user.js: network.http.max-connections-per-server — 4
FF — user.js: content.max.tokenizing.time — 1500000
FF — user.js: content.notify.interval — 750000
FF — user.js: nglayout.initialpaint.delay — 100
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 21:16:03
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet003ServicesOracleOracle9iR2PagingServer]
«ImagePath»=»c:oracleproduct9.2.0/bin/pagntsrv.exe»[HKEY_LOCAL_MACHINESystemControlSet003ServicesOracleOracle9iR2TNSListener]
«ImagePath»=»c:oracleproduct9.2.0BINTNSLSNR «
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{59193459-d9d8-4aff-a163-ba4966d01dad}]
@Denied: (Full) (Everyone)
«Model»=dword:00000070
«Therad»=dword:0000000f[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
@Denied: (Full) (Everyone)
«scansk»=hex(0):bf,ba,ee,48,ae,e9,46,33,61,29,c5,eb,88,1c,08,59,7d,c0,e3,34,6c,
d6,c6,5e,d2,e5,ea,d8,a3,39,ae,d2,13,de,1a,4c,3b,57,e2,5c,00,00,00,00,00,00,[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
«scansk»=hex(0):9a,35,d3,3a,eb,33,32,14,ff,12,7e,ae,2a,86,a1,41,2e,99,1c,8b,1f,
06,87,c8,36,cb,ce,9b,3a,8c,bc,d9,48,76,67,e1,e2,61,24,1d,00,00,00,00,00,00,[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{7e89b566-7e6b-40e4-a9ec-e5a10ad6ef84}]
@Denied: (Full) (Everyone)
«Model»=dword:000000ae
«Therad»=dword:0000000f[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionReinstallШP*]
«DisplayName»=»?13?13″
«DeviceDesc»=»?13?13″
«ProviderName»=»»
«MFG»=»???\»
«ReinstallString»=»c:\WINDOWS\System32\ReinstallBackups\?13\DriverFiles\.INF»
«DeviceInstanceIds»=multi:»nf\cx_08948.inf00″
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1376)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2009-03-02 21:18:46
ComboFix-quarantined-files.txt 2009-03-02 18:18:42
ComboFix2.txt 2009-02-10 18:20:44
ComboFix3.txt 2009-02-10 17:23:15
ComboFix4.txt 2009-02-06 18:43:32Pre-Run: 6 029 017 088 bytes free
Post-Run: 6,020,308,992 bytes free1113 — E O F — 2009-03-01 09:33:12
Скачайте программу RegDelNull кликнув по этой ссылке и расспакуйте её в корень диска C (C:).
Кликните Пуск, Выполнить, введите
RegDelNull.exe HKEY_LOCAL_MACHINE -sНажмите Enter.
Если во время работы программы появится сообщение «Delete (y/n)», введите y.Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
reglockdel::
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{59193459-d9d8-4aff-a163-ba4966d01dad}]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
[HKEY_LOCAL_MACHINEsoftwareClassesCLSID{7e89b566-7e6b-40e4-a9ec-e5a10ad6ef84}]Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ. Так же сообщите программа RegDelNull спрашивала вас (delete y/n) или нет ?RegDelNull ни о чём не спрашивал: отобразил при первом запуске лицензионное соглашение, отработал и вывел «Scan complete.»
Запустил для верности ещё раз. Снова получил «Scan complete.»ComboFix с параметрами запустил (правда, я что-то сразу не просёк, что нужно было сделать _текстовый_ файл, поэтому сделал файл с именем без расширения; думаю, это ни на что не влияет). Он снова скачал обновление (программа регулярно обновляется?). Вот лог:
ComboFix 09-03-06.02 — User 2009-03-07 21:06:15.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.1535.712 [GMT 3:00]
Running from: z:remedyComboFixComboFix.exe
Command switches used :: C:CFScript
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
AV: Panda Antivirus Platinum 7 *On-access scanning disabled* (Outdated)
FW: Panda Antivirus Platinum 7 *disabled*
FW: PC Tools Firewall Plus *disabled*
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2009-02-07 to 2009-03-07 )))))))))))))))))))))))))))))))
.2009-03-07 20:58 . 2006-11-01 13:06 162,616
C:RegDelNull.exe
2009-03-03 21:57 . 2008-12-11 08:38 159,600 —a
c:windowssystem32driverspctgntdi.sys
2009-03-03 21:57 . 2009-02-23 10:11 130,424 —a
c:windowssystem32driversPCTCore.sys
2009-03-03 21:57 . 2008-12-18 12:16 73,840 —a
c:windowssystem32driversPCTAppEvent.sys
2009-03-03 21:54 . 2008-09-22 12:29 97,408 —a
c:windowssystem32driverspctfw.sys
2009-03-03 21:54 . 2009-01-21 10:38 95,640 —a
c:windowssystem32driverspctplfw.sys
2009-03-02 21:05 . 2009-03-02 21:09 2,933,037 -ra
C:ComboFix.exe
2009-03-01 00:31 . 2009-01-09 22:19 1,089,593
c— c:windowssystem32dllcachentprint.cat
2009-02-27 22:37 . 2009-02-27 22:37d
c:documents and settingsUserWINDOWS
2009-02-27 22:37 . 2009-02-27 22:37d
c:documents and settingsUserWINDOWS
2009-02-23 17:16 . 2009-02-28 12:30d
c:temppmagic
2009-02-22 21:05 . 2009-02-22 21:05 4,444 —a
c:windowssystem32pid.PNF
2009-02-21 22:36 . 2009-02-21 22:36d
c:documents and settingsUserApplication DataImgBurn
2009-02-15 12:50 . 2009-02-15 12:50 72,192 —a
c:windowscadkasdeinst01e.exe
2009-02-14 12:35 . 2009-02-14 12:35d—hs—- c:documents and settingsБэттаPrivacIE
2009-02-14 12:35 . 2009-02-14 12:35d—hs—- c:documents and settingsБэттаPrivacIE
2009-02-14 12:35 . 2009-02-14 12:35d
c:documents and settingsБэттаApplication DataWindows Desktop Search
2009-02-14 12:35 . 2009-02-14 12:35d
c:documents and settingsБэттаApplication DataPCToolsFirewallPlus
2009-02-14 12:34 . 2009-02-14 12:34d—hs—- c:documents and settingsБэттаIETldCache
2009-02-14 12:34 . 2009-02-14 12:34d—hs—- c:documents and settingsБэттаIETldCache
2009-02-13 22:02 . 2009-02-13 22:10 250 —a
c:windowsgmer.ini
2009-02-11 23:52 . 2009-02-11 23:52d
c:windowssystem32XPSViewer
2009-02-11 23:51 . 2009-02-11 23:51d
c:program filesReference Assemblies
2009-02-11 23:51 . 2008-07-06 15:06 1,676,288
c:windowssystem32xpssvcs.dll
2009-02-11 23:51 . 2008-07-06 15:06 1,676,288
c— c:windowssystem32dllcachexpssvcs.dll
2009-02-11 23:51 . 2008-07-06 13:50 597,504
c— c:windowssystem32dllcacheprintfilterpipelinesvc.exe
2009-02-11 23:51 . 2008-07-06 15:06 575,488
c:windowssystem32xpsshhdr.dll
2009-02-11 23:51 . 2008-07-06 15:06 575,488
c— c:windowssystem32dllcachexpsshhdr.dll
2009-02-11 23:51 . 2008-07-06 15:06 117,760
c:windowssystem32prntvpt.dll
2009-02-11 23:51 . 2008-07-06 15:06 89,088
c— c:windowssystem32dllcachefilterpipelineprintproc.dll
2009-02-11 23:01 . 2009-02-11 23:01d
c:temp1
2009-02-11 20:02 . 2009-02-11 20:04d
c:temphsperfdata_Administrator
2009-02-11 19:40 . 2009-02-11 19:40d—hs—- c:documents and settingsAdministratorPrivacIE
2009-02-11 19:40 . 2009-02-11 19:40d—hs—- c:documents and settingsAdministratorIETldCache
2009-02-11 18:41 . 2009-02-11 18:41d
c:tempru-ru
2009-02-11 18:41 . 2009-02-11 18:41d
c:tempen-us
2009-02-11 18:41 . 2009-02-11 18:41d
c:documents and settingsAdministratorApplication DataWindows Desktop Search
2009-02-11 18:40 . 2009-02-11 18:40d
c:tempWPDNSE
2009-02-08 21:50 . 2009-02-08 21:50 210,052 —a
c:windowssystem32SII-TT-0021B.pdf
2009-02-08 17:31 . 2009-03-02 19:30d
c:program filesMicrosoft Silverlight
2009-02-08 17:30 . 2009-02-08 17:30d
c:windowssystem32GroupPolicy
2009-02-08 17:30 . 2009-02-27 22:24d
c:program filesWindows Desktop Search
2009-02-08 17:29 . 2008-03-07 20:02 192,000
c— c:windowssystem32dllcacheofffilt.dll
2009-02-08 17:29 . 2008-03-07 20:02 98,304
c— c:windowssystem32dllcachenlhtml.dll
2009-02-08 17:29 . 2008-03-07 20:02 29,696
c— c:windowssystem32dllcachemimefilt.dll
2009-02-07 23:21 . 2009-02-07 23:21d—hs—- c:documents and settingsUserIETldCache
2009-02-07 23:21 . 2009-02-07 23:21d—hs—- c:documents and settingsUserIETldCache
2009-02-07 22:46 . 2009-02-07 22:46d
c:windowsie8updates
2009-02-07 22:43 . 2009-02-07 22:44d—h-c— c:windowsie8
2009-02-07 22:40 . 2009-01-11 08:00 79,360
c— c:windowssystem32dllcacheiecompat.dll
2009-02-07 20:56 . 2009-02-07 20:56d—hs—- c:documents and settingsUserPrivacIE
2009-02-07 20:56 . 2009-02-07 20:56d—hs—- c:documents and settingsUserPrivacIE
2009-02-07 18:21 . 2009-02-07 18:21d
c:program filesWindows Media Connect 2
2009-02-07 18:08 . 2009-02-07 18:08d
c:windowssystem32LogFiles
2009-02-07 18:08 . 2009-02-07 18:14d
c:windowssystem32driversUMDF
2009-02-07 15:50 . 2009-02-07 15:50d
c:windowssystem32CatRoot_bak
2009-02-07 15:09 . 2008-04-13 22:06 144,384
c:windowssystem32drivershdaudbus.sys
2009-02-07 15:09 . 2008-04-14 00:10 10,240
c:windowssystem32driverssffp_mmc.sys
2009-02-07 15:06 . 2006-12-29 00:31 19,569 —a
c:windows003610_.tmp.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-07 18:09
d
w c:documents and settingsUserApplication DataDNA
2009-03-07 18:07
d
w c:documents and settingsUserApplication DataSkype
2009-03-07 17:50
d—a-w c:documents and settingsAll UsersApplication DataTEMP
2009-03-07 17:50
d
w c:documents and settingsUserApplication DataskypePM
2009-03-07 17:49
d
w c:program filesDNA
2009-03-07 02:59
d
w c:documents and settingsUserApplication DataBitTorrent
2009-03-06 20:58
d
w c:program filesSpyware Doctor
2009-03-06 20:41
d
w c:documents and settingsAll UsersApplication DataGoogle Updater
2009-03-03 18:54
d
w c:program filesCommon FilesPC Tools
2009-02-28 08:36
d
w c:program filesD-Link
2009-02-27 18:14
d
w c:program filesGoogle
2009-02-21 21:41
d
w c:documents and settingsUserApplication Datavlc
2009-02-20 20:57
d
w c:documents and settingsUserApplication Datadvdcss
2009-02-11 21:32
d
w c:documents and settingsAll UsersApplication DataMicrosoft Help
2009-02-11 20:52
d
w c:program filesMSBuild
2009-02-11 07:19 38,496 —-a-w c:windowssystem32driversmbamswissarmy.sys
2009-02-11 07:19 15,504 —-a-w c:windowssystem32driversmbam.sys
2009-02-09 17:01
d—h—w c:program filesInstallShield Installation Information
2009-02-07 13:11
d
w c:documents and settingsUserApplication DatauTorrent
2009-02-04 19:28
d
w c:program filesWindows Live Safety Center
2009-02-04 18:59
d
w c:documents and settingsAll UsersApplication DataKaspersky Lab
2009-02-02 17:47
d
w c:documents and settingsAll UsersApplication DataMalwarebytes
2009-02-02 17:47
d
w c:documents and settingsUserApplication DataMalwarebytes
2009-02-01 14:30
d
w c:program filesPanda Security
2009-02-01 13:02
d
w c:program filesCodeSaver
2009-02-01 12:32
d
w c:program filesCommon FilesLogiShrd
2009-02-01 12:29
d
w c:program filesLogitech
2009-02-01 12:29
d
w c:documents and settingsAll UsersApplication DataLogishrd
2009-01-31 21:01
d
w c:program filestrend micro
2009-01-31 17:35
d
w c:documents and settingsAdministratorApplication DataAuslogics
2009-01-29 18:22
d
w c:documents and settingsAdministratorApplication DataOpenOffice.org
2009-01-29 17:43
d
w c:documents and settingsAdministratorApplication DataGrabPro
2009-01-29 17:42
d
w c:documents and settingsAdministratorApplication DataOrbit
2009-01-29 17:38
d
w c:documents and settingsAdministratorApplication DataPCToolsFirewallPlus
2009-01-29 17:34
d
w c:documents and settingsUserApplication DataOrbit
2009-01-17 13:39
d
w c:documents and settingsUserApplication DataPCToolsFirewallPlus
2009-01-15 20:34
d
w c:program filesCOMODO
2009-01-15 19:29
d
w c:program filesCommon FilesReal
2009-01-15 04:55
d
w c:documents and settingsБэттаApplication DataOrbit
2009-01-14 23:05 911,872 —-a-w c:windowssystem32wininet.dll
2009-01-14 23:05 43,008 —-a-w c:windowssystem32licmgr10.dll
2009-01-14 23:04 18,944 —-a-w c:windowssystem32corpol.dll
2009-01-14 23:03 72,704 —-a-w c:windowssystem32admparse.dll
2009-01-14 23:03 71,680 —-a-w c:windowssystem32iesetup.dll
2009-01-14 23:03 420,352 —-a-w c:windowssystem32vbscript.dll
2009-01-14 23:01 34,304 —-a-w c:windowssystem32imgutil.dll
2009-01-14 23:00 48,128 —-a-w c:windowssystem32mshtmler.dll
2009-01-14 23:00 45,568 —-a-w c:windowssystem32mshta.exe
2009-01-14 22:50 156,160 —-a-w c:windowssystem32msls31.dll
2009-01-12 21:17
d
w c:program filesKMPlayer
2009-01-12 19:18 68,096 —-a-w c:windowsScUnin.exe
2009-01-11 20:49
d
w c:program filesStarCraft
2009-01-11 20:05
d
w c:documents and settingsUserApplication DataStarDict
2009-01-11 20:04
d
w c:program filesStarDict
2009-01-11 18:03
d
w c:program filesRealtek AC97
2009-01-11 16:54
d
w c:program filesCommon FilesAdobe AIR
2009-01-10 11:02
d
w c:program filesCanon
2009-01-09 11:06
d
w c:program filesMicrosoft Works
2009-01-09 10:52
d
w c:program filesMicrosoft Visual Studio 8
2009-01-09 08:14
d
w c:program filesMicrosoft CAPICOM
2009-01-08 20:59
d
w c:program filesMicrosoft Baseline Security Analyzer 2
2009-01-05 22:33 3,751,995 —-a-w c:windowssystem32GPhotos.scr
2009-01-01 11:33 35,912 —-a-w c:documents and settingsUserApplication DataGDIPFONTCACHEV1.DAT
2008-12-17 06:01 432,664 —-a-w c:windowssystem32LVUI2RC.dll
2008-12-17 06:00 494,104 —-a-w c:windowssystem32LVUI2.dll
2008-12-17 05:55 416,280 —-a-w c:windowssystem32lvcodec2.dll
2008-12-17 05:55 195,096 —-a-w c:windowssystem32lvci11901262.dll
2008-12-17 05:37 29,562 —-a-w c:windowssystem32Repository.reg
2008-12-08 17:04 410,984 —-a-w c:windowssystem32deploytk.dll
2008-12-08 09:53 57,344 —-a-w c:windowssystem32ff_vfw.dll
2008-11-13 12:12 35,912 —-a-w c:documents and settingsБэттаApplication DataGDIPFONTCACHEV1.DAT
2008-02-13 17:45 32,128 —-a-w c:documents and settingsЛизунчикApplication DataGDIPFONTCACHEV1.DAT
2004-02-19 18:31 204 —-a-w c:documents and settingsUserccd4.reg
2004-02-19 18:31 204 —-a-w c:documents and settingsUserccd4.reg
2002-08-29 10:57 834,516 —-a-r c:windowsinfiis.tmp
2006-01-04 17:41 45,056 —-a-w c:program filesmozilla firefoxpluginsUPD62INT.dll
2005-04-16 12:30 56 —sh—r c:windowssystem320875F77CC7.sys
.((((((((((((((((((((((((((((( SnapShot_2009-03-02_21.17.19,75 )))))))))))))))))))))))))))))))))))))))))
.
— 2009-03-02 16:32:20 32,768 —-a-w c:windowssystem32configsystemprofileCookiesindex.dat
+ 2009-03-07 17:50:01 32,768 —-a-w c:windowssystem32configsystemprofileCookiesindex.dat
— 2009-03-02 16:32:20 32,768 —-a-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
+ 2009-03-07 17:50:01 32,768 —-a-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
— 2009-03-02 16:32:20 49,152 —-a-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
+ 2009-03-07 17:50:01 49,152 —-a-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
— 2009-03-02 16:37:00 71,904 —-a-w c:windowssystem32perfc009.dat
+ 2009-03-07 17:54:33 71,904 —-a-w c:windowssystem32perfc009.dat
— 2009-03-02 16:37:06 444,028 —-a-w c:windowssystem32perfh009.dat
+ 2009-03-07 17:54:33 444,028 —-a-w c:windowssystem32perfh009.dat
+ 2009-03-07 17:49:57 16,384 —-atw c:windowstempPerflib_Perfdata_ff4.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«googletalk»=»c:program filesGoogleGoogle Talkgoogletalk.exe» [2007-01-02 3739648]
«mRouterConfig»=»c:program filesIntuwaveSharedmRouterRuntimemRouterConfig.exe» [2006-03-02 290816]
«Auslogics BoostSpeed 4″=»z:program filesAusLogicsBoostSpeedboostspeed.exe» [2009-01-25 361584]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-11-07 21633320]
«IPPON MONITOR»=»z:program filesipponMonitorippmon_0_99_6.exe» [2005-08-07 847360]
«swg»=»c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe» [2007-11-03 68856]
«BitTorrent DNA»=»c:program filesDNAbtdna.exe» [2009-02-06 342848][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«Lingvo Launcher»=»c:program filesABBYY Lingvo 8.0Lvagent.exe» [2002-12-10 102400]
«NVRTCLK»=»c:windowssystem32NVRTCLKNVRTClk.exe» [2003-12-30 24576]
«PC Suite for Smartphones»=»c:program filesSony EricssonMobile4Application LauncherApplication Launcher.exe» [2007-12-25 548864]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2008-06-12 34672]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-08-29 61440]
«ZBrowser Launcher»=»z:program filesLogitechiTouchiTouch.exe» [2004-03-18 892928]
«SunJavaUpdateSched»=»z:program filesJavajre6binjusched.exe» [2008-12-08 136600]
«Sunkist2k»=»c:program filesMultimedia Card Readershwicon2k.exe» [2005-02-25 131072]
«LogitechQuickCamRibbon»=»c:program filesLogitechQuickCamQuickcam.exe» [2008-12-20 2656528]
«ISTray»=»c:program filesSpyware DoctorpctsTray.exe» [2008-12-21 1168264]
«00PCTFW»=»z:program filesPC ToolsFirewall PlusFirewallGUI.exe» [2009-02-23 2652056]
«Logitech Utility»=»Logi_MwX.Exe» [2003-12-17 c:windowsLOGI_MWX.EXE]
«BluetoothAuthenticationAgent»=»bthprops.cpl» [2008-04-14 c:windowssystem32bthprops.cpl]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2008-04-14 15360]c:documents and settingsAdministratorStart MenuProgramsStartup
OpenOffice.org 3.0.lnk — z:program filesOpenOffice.org 3programquickstart.exe [2009-01-08 384000]c:documents and settingsЊпгиStart MenuProgramsStartup
OpenOffice.org 3.0.lnk — z:program filesOpenOffice.org 3programquickstart.exe [2009-01-08 384000]c:documents and settingsAll UsersStart MenuProgramsStartup
BlueSoleil.lnk — c:program filesIVT CorporationBlueSoleilBlueSoleil.exe [2006-07-16 626176]
Џа®Ја ¬¬ ®Ў®ў«ҐЁ© Google.lnk — c:program filesGoogleGoogle UpdaterGoogleUpdater.exe [2007-11-03 161776][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3radius»= l3codecp.acm
«vidc.I263″= I263_32.drv
«msacm.divxa32″= msaud32_divx.acm[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ autocheck autochk *0smrgdf c:program filesiolosystem mechanic 4[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionrun-]
«CTFMON.EXE»=c:windowssystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun-]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe»
«RegKillElbyCheck»=»c:program filesElaborate BytesDVD Region KillerElbyCheck.exe» /L RegKill
«DAEMON Tools-1033″=»c:program filesD-Toolsdaemon.exe» -lang 1033[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringPandaAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringPandaFirewall]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\Program Files\Google\Google Talk\googletalk.exe»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=
«z:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe»=
«c:\Program Files\DNA\btdna.exe»=
«z:\Program Files\BitTorrent\bittorrent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=R0 pavboot;pavboot;c:windowssystem32driverspavboot.sys [2009-02-01 28544]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2008-07-01 34312]
R1 pctgntdi;pctgntdi;c:windowssystem32driverspctgntdi.sys [2009-03-03 159600]
R1 prodrv04;Star Force copy protection driver v4;c:windowssystem32driversprodrv04.sys [2004-04-16 114496]
R2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2008-07-01 468224]
R2 ETDrv;ETDrv;c:windowssystem32driversETDrv.sys [2003-12-12 151476]
R2 PCTAppEvent;PCTAppEvent Driver;c:windowssystem32driversPCTAppEvent.sys [2009-03-03 73840]
R2 PGPdisk;PGPdisk;c:windowssystem32driversPGPdisk.sys [2004-12-10 169120]
R2 PGPsdkDriver;PGPsdkDriver;c:windowssystem32driversPGPsdk.sys [2004-12-10 26624]
R2 sdAuxService;PC Tools Auxiliary Service;c:program filesSpyware DoctorpctsAuxs.exe [2008-03-01 356920]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:windowssystem32driversm4cxw2k3.sys [2007-02-15 250752]
R3 pctplfw;pctplfw;c:windowssystem32driverspctplfw.sys [2009-03-03 95640]
R3 RegKill;RegKill;c:windowssystem32driversRegKill.sys [2002-11-28 6400]
S2 gupdate1c9652ad837e686;Google Update Service (gupdate1c9652ad837e686);c:program filesGoogleUpdateGoogleUpdate.exe [2008-12-23 133104]
S2 SVKP;SVKP; [x]
S3 ACSET;ACS USB Smart Card Reader;c:windowssystem32driversacrusbxp.sys [2006-11-27 25728]
S3 ACSSCR;ACR38 Smart Card Reader;c:windowssystem32driversa38usbxp.sys [2006-03-12 24832]
S3 cxbu0wdm;CardMan 3×21;c:windowssystem32driverscxbu0wdm.sys [2008-01-15 97792]
S3 OracleClientCache80;OracleClientCache80;c:oracleproduct8.0.6BINONRSD80.EXE —> c:oracleproduct8.0.6BINONRSD80.EXE [?]
S3 OracleOracle9iR2ClientCache;OracleOracle9iR2ClientCache;c:oracleproduct9.2.0BINONRSD.EXE —> c:oracleproduct9.2.0BINONRSD.EXE [?]
S3 OracleOracle9iR2HTTPServer;OracleOracle9iR2HTTPServer;»c:oracleproduct9.2.0ApacheApacheapache.exe» —ntservice —> c:oracleproduct9.2.0ApacheApacheapache.exe [?]
S3 OracleOracle9iR2PagingServer;OracleOracle9iR2PagingServer;c:oracleproduct9.2.0/bin/pagntsrv.exe —> c:oracleproduct9.2.0/bin/pagntsrv.exe [?]
S3 OracleOracle9iR2TNSListener;OracleOracle9iR2TNSListener;c:oracleproduct9.2.0BINTNSLSNR —> c:oracleproduct9.2.0BINTNSLSNR [?]
S3 OracleServiceCARBON;OracleServiceCARBON;c:oracleproduct9.2.0binORACLE.EXE CARBON —> c:oracleproduct9.2.0binORACLE.EXE CARBON [?]
S3 pcwe;pcwe;??c:program filesPC Wizard 2005pcwizard.sys —> c:program filesPC Wizard 2005pcwizard.sys [?]
S3 SE31bus;Sony Ericsson Device 049 Driver driver (WDM);c:windowssystem32driversSE31bus.sys [2006-10-15 61600]
S3 SE31mdfl;Sony Ericsson Device 049 USB WMC Modem Filter;c:windowssystem32driversSE31mdfl.sys [2006-10-15 9360]
S3 SE31mdm;Sony Ericsson Device 049 USB WMC Modem Driver;c:windowssystem32driversSE31mdm.sys [2006-10-15 97184]
S3 SE31mgmt;Sony Ericsson Device 049 USB WMC Device Management Drivers (WDM);c:windowssystem32driversSE31mgmt.sys [2006-10-15 88688]
S3 se31nd5;Sony Ericsson Device 049 USB Ethernet Emulation SEMC49 (NDIS);c:windowssystem32driversse31nd5.sys [2006-10-15 18704]
S3 SE31obex;Sony Ericsson Device 049 USB WMC OBEX Interface;c:windowssystem32driversSE31obex.sys [2006-10-15 86560]
S3 se31unic;Sony Ericsson Device 049 USB Ethernet Emulation SEMC49 (WDM);c:windowssystem32driversse31unic.sys [2006-10-15 90800]
S3 SkLaggProtocol;Marvell Link Aggregation Protocol (LAGG) Support;c:windowssystem32DRIVERSyk51lagg.sys —> c:windowssystem32DRIVERSyk51lagg.sys [?]
S3 SkVlanProtocol;Marvell Virtual LAN (VLAN) Support;c:windowssystem32driversskvlan.sys [2006-05-17 19328]
S4 Kbisunervpww;Kbisunervpww; [x]— Other Services/Drivers In Memory —
*Deregistered* — mchInjDrv
*Deregistered* — mscgcosd[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e9138ea2-7fdb-11db-8485-028037010300}]
ShellAutoRuncommand — I:umenu.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
«c:windowssystem32rundll32.exe» «c:windowssystem32iedkcs32.dll»,BrandIEActiveSetup SIGNUP
.
Contents of the ‘Scheduled Tasks’ folder2009-03-07 c:windowsTasksGoogle Software Updater.job
— c:program filesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe [2009-02-13 23:34]
.
.
Supplementary Scan
.
uStart Page = about:blank
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Download by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/201
IE: &Grab video by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/204
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3Office12EXCEL.EXE/3000
IE: Add to Google Photos Screensa&ver — c:windowssystem32GPhotos.scr/200
IE: Do&wnload selected by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/203
IE: Down&load all by Orbit — c:program filesOrbitDownloaderorbitmxt.dll/202
IE: Easy-WebPrint Add To Print List — c:program filesCanonEasy-WebPrintResource.dll/RC_AddToList.html
IE: Easy-WebPrint High Speed Print — c:program filesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
IE: Easy-WebPrint Preview — c:program filesCanonEasy-WebPrintResource.dll/RC_Preview.html
IE: Easy-WebPrint Print — c:program filesCanonEasy-WebPrintResource.dll/RC_Print.html
IE: Закачать ВСЕ при помощи Download Master
IE: Закачать все при помощи FlashGet — z:program filesFlashGetjc_all.htm
IE: Закачать при помощи Download Master
IE: Закачать при помощи FlashGet — z:program filesFlashGetjc_link.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
Handler: bwfile-8876480 — {9462A756-7B47-47BC-8C80-C34B9B80B32B} — z:program filesLogitechDesktop Messenger8876480ProgramGAPlugProtocol-8876480.dll
Handler: yandexcd — {e519db43-cff1-11d1-be82-0000c0df45f8} — c:windowsYandexCD.dll
DPF: Microsoft XML Parser for Java — file://c:windowsJavaclassesxmldso.cab
DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} — hxxp://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab
FF — ProfilePath — c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.default
FF — prefs.js: browser.search.selectedEngine — Orbit Search (Powered By Google)
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}componentsnstidy.dll
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{cf2812dc-6a7c-4402-b639-4d277dac4c36}componentsschemval.dll
FF — component: c:documents and settingsUserApplication DataMozillaFirefoxProfilesosv32efd.defaultextensions{cf2812dc-6a7c-4402-b639-4d277dac4c36}componentsxforms.dll
FF — plugin: c:program filesGoogleGoogle Updater2.4.1487.6512npCIDetect13.dll
FF — plugin: c:program filesGoogleUpdate1.2.141.5npGoogleOneClick7.dll
FF — plugin: z:program filesGooglePicasa3npPicasa3.dll
FF — plugin: z:program filesJavajre6binnew_pluginnpdeploytk.dll
FF — plugin: z:program filesJavajre6binnew_pluginnpjp2.dll
FF — plugin: z:program filesMozillaFirefoxpluginsnpbittorrent.dll—- FIREFOX POLICIES —-
FF — user.js: network.http.max-connections-per-server — 4
FF — user.js: content.max.tokenizing.time — 1500000
FF — user.js: content.notify.interval — 750000
FF — user.js: nglayout.initialpaint.delay — 100
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-07 21:10:40
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet003ServicesOracleOracle9iR2PagingServer]
«ImagePath»=»c:oracleproduct9.2.0/bin/pagntsrv.exe»[HKEY_LOCAL_MACHINESystemControlSet003ServicesOracleOracle9iR2TNSListener]
«ImagePath»=»c:oracleproduct9.2.0BINTNSLSNR «
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionReinstallШP*]
«DisplayName»=»?13?13″
«DeviceDesc»=»?13?13″
«ProviderName»=»»
«MFG»=»???\»
«ReinstallString»=»c:\WINDOWS\System32\ReinstallBackups\?13\DriverFiles\.INF»
«DeviceInstanceIds»=multi:»nf\cx_08948.inf00″
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(348)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2009-03-07 21:13:07
ComboFix-quarantined-files.txt 2009-03-07 18:13:03
ComboFix2.txt 2009-03-02 18:18:48
ComboFix3.txt 2009-02-10 18:20:44
ComboFix4.txt 2009-02-10 17:23:15
ComboFix5.txt 2009-03-07 18:05:17Pre-Run: 5 798 965 248 bytes free
Post-Run: 5,778,112,512 bytes free362 — E O F — 2009-03-01 09:33:12
Извиняюсь за задержку.
Почище, удалили несколько защишеных ключей.
Как работает компьютер сейчас, есть ли проявления вирусной активности ?Проявлений вирусной/троянской активности пока нет.
Точнее, последний раз NOD32 «ругнулся» 16 февраля. С тех пор больше сообщений не было.Я полагаю, что это случилось, в конечном итоге, благодаря GMER. Он, конечно, до конца не отработал («валился» в процессе сканирования), но что-то явно изменил. Правда, я запускал ещё пару-тройку онлайновых сканеров: Панду, Касперского и TrendMicro. Панда понравилась за простоту, Касперского запускал несколько раз (всё-таки весьма своеобразная программа!), TrendMicro оставляет ощущение какой-то недоделанности…
Вопрос: как удалить старые ссылки на прежние firewall’ы (они видны в логах ComboFix’а)? Да и прочее неиспользуемое ПО. Вообще-то у меня установлен Auslogics BoostSpeed, там есть функции очистки, но как-то не до конца он очищает.
Заранее спасибо.
как удалить старые ссылки на прежние firewall’ы
Вы имеете в виду ключи реестра ?
Кроме этого для очистки реестра можете попробовать хорошую программу CCleaner.
Уважаемый Валерий!
Спасибо вам большое! С 16.02.2009 признаков вирусной/троянской активности на моём компьютере не наблюдается.
Думаю, тему можно закрыть.Ещё раз спасибо, всего Вам доброго!
Рад вам помочь 🙂
Судя по последнему вашему логу, у вас установлено два антивируса, обязательно удалите один.Несколько завершающих действий.
1. Обновите ваши программы.
Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.Зайдите на сайт update.microsoft.com и обновите Windows.
2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
3. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
4. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
