- This topic has 16 ответов, 2 участника, and was last updated 16 years, 8 months назад by
.
-
Сообщения
-
Здраствуйте, у меня вот такая проблема: MS Antivirus (это далеко не антивирус компании Microsoft), нашел описание с вашего сайта, скачал программу HijackThis, сделал все как сказано, а именно после скаринования нажимаю кнопку Save log, но где его можно просмотреть и скопировать чтобы выложить Вам?
Здравствуйте ThSt, добро пожаловать на форум Spyware-ru.
Когда вы кликаете на кнопку Save log то по-умолчанию происходит запись в католог где находиться исполняемый файл HijackThis.
Но вы можете выбрать при записи лога место куда он будет записан, например Рабочий стол.
Файл лога записывается под именем hijackthis.log
В описании программы HijackThis я указывал о том, что для сканирования нужно кликнуть по кнопке «Do a system scan only», если сделать именно так, то после сканирования лог откроется автоматически в блокноте. Далее просто выделите весь текст и вставьте в ваш ответ.Жду от вас HijackThis лог.
да, делаю я «Do a system scan only», но как только я нажимаю кнопку Save log, программа сразу же закрывается, а в месте где она установлена: C:Program FilesTrend MicroHijackThis , ничего кроме загрузочного файла программы нет(HijackThis.exe)
Хорошо, запустите HijackThis, далее кликните по кнопке «Do a system scan and save a logfile». Программа выполнит сканирование и после чего сразу же запишет лог файл на диск, после чего откроет его в блокноте. Выделите весь текст, скопируйте в буфер обмена. Вставьте в ваше следующее сообщение.
Получилось, но перед тем как выложать лог, хочу сказать небольшое пояснение: без моего ведома, мой брат решил убить этот вирус самостоятельно, и удалял его везде где только можно, ковыряясь и в службах и в реестре, хотя сам не имеет особого опыта, слишком нетерпиливый, и теперь программа MS Antivirus не выскакивает, но загрузка виндувс какая то затяжная, и в процессах висит все равно много двойников, что то все таки осталось…
Вот лог файл:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:01:06, on 08.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
C:WINDOWSExplorer.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32csrcs.exe
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesD-LinkDSL-200dslstat.exe
C:Program FilesD-LinkDSL-200dslagent.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:WINDOWSsystem32rundll32.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesOperaACopera.exe
C:Program FilesTrend MicroHijackThisHijackThis.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.yahoo.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — C:Program FilesMail.RuAgentMradllnewmrasearch.dll
F2 — REG:system.ini: Shell=Explorer.exe csrcs.exe
O3 — Toolbar: &Yahoo! Companion — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» /StartedFromRunKey
O4 — HKLM..Run: [DSLSTATEXE] C:Program FilesD-LinkDSL-200dslstat.exe icon
O4 — HKLM..Run: [DSLAGENTEXE] C:Program FilesD-LinkDSL-200dslagent.exe
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [68b04aa4] rundll32.exe «C:WINDOWSsystem32yfysvauk.dll»,b
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKLM..PoliciesExplorerRun: [csrcs] C:WINDOWSsystem32csrcs.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O16 — DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) — C:Program FilesYahoo!CommonYinsthelper.dll
O17 — HKLMSystemCCSServicesTcpip..{6C6AB72C-F7FB-4D4A-9D19-200F2CD34667}: NameServer = 82.200.130.231 82.200.130.10
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O21 — SSODL: xrdwbfgn — {10A9DCEA-6014-4EE7-92DF-E9BD5D229CE1} — C:WINDOWSxrdwbfgn.dll
O21 — SSODL: dgksvbpn — {998BCF6A-1C0E-4D7A-B7EE-DB68CFA672C9} — C:WINDOWSdgksvbpn.dll (file missing)
O23 — Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) — ABBYY (BIT Software) — C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Pml Driver HPZ12 — HP — C:WINDOWSsystem32HPZipm12.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 9694 bytesНа вашем компьютере всё ещё множество спайваре/троянов.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочками (слева) следующие строки:F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O4 - HKLM..Run: [68b04aa4] rundll32.exe "C:WINDOWSsystem32yfysvauk.dll",b
O4 - HKLM..PoliciesExplorerRun: [csrcs] C:WINDOWSsystem32csrcs.exe
O21 - SSODL: xrdwbfgn - {10A9DCEA-6014-4EE7-92DF-E9BD5D229CE1} - C:WINDOWSxrdwbfgn.dll
O21 - SSODL: dgksvbpn - {998BCF6A-1C0E-4D7A-B7EE-DB68CFA672C9} - C:WINDOWSdgksvbpn.dll (file missing)Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.в рекомендациях к скачиванию программы ComboFix есть такое: желательно выключить антивирус перед запуском, чтобы он на него не «ругался»…
после завершения процедуры(в которую входит презагрузка виндовс, мой антивирус McAfee загрузился снова с параметром постоянного сканирования(которую я отключал) и удалил один файл, хотя произошло это сразу по завершению работы ComboFix и открытию лог файла, вот этот удаленный файл:
Name:PSEXEC.CFEXE
In Folder:CCOMBOFIX
Detected As:RemAdm-ProcLaunch!171
Detection Type:Remote Admin Tool
то что он удален
в какое время и дату
Application:CWINDOWSsystemcmd.exeвот лог файл от ComboFix:
ComboFix 08-09-05.05 — Admin 2008-09-08 17:49:26.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1665 [GMT 4:00]
Running from: D:ComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Documents and SettingsAdminApplication DataAdobecrc.dat
C:Documents and SettingsAdminApplication DataAdobeManager.exe
C:Documents and SettingsAdminCookiesadmin@myheritage[1].txt
C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
C:Program FilesPCHealthCenter0.exe
C:Program FilesPCHealthCenter0.gif
C:Program FilesPCHealthCenter1.exe
C:Program FilesPCHealthCenter1.gif
C:Program FilesPCHealthCenter1.ico
C:Program FilesPCHealthCenter2.exe
C:Program FilesPCHealthCenter2.gif
C:Program FilesPCHealthCenter2.ico
C:Program FilesPCHealthCenter3.exe
C:Program FilesPCHealthCenter3.gif
C:Program FilesPCHealthCenter4.exe
C:Program FilesPCHealthCenter5.exe
C:Program FilesPCHealthCenter7.exe
C:Program FilesPCHealthCentersc.html
C:WINDOWSewxk.exe
C:WINDOWSfaceback.exe
C:WINDOWSsystem32AutoRun.inf
C:WINDOWSsystem32baJQAcfe.ini
C:WINDOWSsystem32baJQAcfe.ini2
C:WINDOWSsystem32cixaclog.dll
C:WINDOWSsystem32csrcs.exe
C:WINDOWSsystem32efcAQJab.dll
C:WINDOWSsystem32ekbhjioa.ini
C:WINDOWSsystem32geBtQgEw.dll
C:WINDOWSsystem32golcaxic.ini
C:WINDOWSsystem32kuavsyfy.ini
C:WINDOWSsystem32ljJBstRh.dll
C:WINDOWSsystem32mcrh.tmp
C:WINDOWSsystem32mmx80297.dll
C:WINDOWSsystem32mx80297.dll
C:WINDOWSsystem32yfysvauk.dll
C:WINDOWSvanwxemgpbm.dll
C:WINDOWSxrdwbfgn.dll
BITS: Possible infected sites
http://pornotube30.net
.
((((((((((((((((((((((((( Files Created from 2008-08-08 to 2008-09-08 )))))))))))))))))))))))))))))))
.2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57d
C:Program FilesTrend Micro
2008-09-07 10:30 . 2008-09-05 17:07 106,496 —a
C:WINDOWSsystem32YUR94.exe
2008-09-07 08:25 . 2008-09-05 17:07 106,496 —a
C:WINDOWSsystem32YUR91.exe
2008-09-07 08:23 . 2008-09-05 17:07 3,262 —a
C:WINDOWSsystem322.ico
2008-09-07 08:19 . 2008-09-08 17:52d
C:Program FilesPCHealthCenter
2008-09-07 08:19 . 2008-09-04 15:47 167,936 —a
C:WINDOWSsystem32MSa.cpl
2008-09-07 08:19 . 2008-09-07 04:06 147,456 —a
C:WINDOWSsxmaokgf.exe
2008-09-07 08:19 . 2008-09-05 17:07 33,792 —a
C:WINDOWSsystem32YUR79.exe
2008-09-07 08:19 . 2008-09-05 17:07 32,768 —a
C:WINDOWSsystem32YUR7A.exe
2008-09-07 08:19 . 2008-09-05 17:07 31,232 —a
C:WINDOWSsystem32YUR7C.exe
2008-09-07 08:19 . 2008-09-05 17:07 31,232 —a
C:WINDOWSsystem32YUR7B.exe
2008-09-07 08:19 . 2008-09-05 17:07 3,262 —a
C:WINDOWSsystem321.ico
2008-09-07 08:18 . 2008-09-07 08:18 15,872 —a
C:WINDOWSsystem32rgda.exe
2008-09-02 21:38 . 2008-09-02 21:38d
C:Program FilesMjcore
2008-09-02 14:37 . 2008-09-02 14:37 7,521 —a
C:WINDOWSsystem32rgdb.exe
2008-08-31 13:57 . 2008-08-31 13:57d
C:Program FilesЊ бвҐа ЋвЄалв®Є
2008-08-30 15:38 . 2008-08-30 15:39d
C:Documents and SettingsAdminApplication DataThe Bat!
2008-08-22 00:37 . 2008-08-22 00:37d
C:Documents and SettingsAdminApplication DataPRMT
2008-08-22 00:34 . 2008-08-22 00:34d
C:WINDOWSspeech
2008-08-22 00:32 . 2008-08-22 00:34d
C:WINDOWSLhsp
2008-08-22 00:32 . 2008-08-22 00:33d
C:Program FilesPRMT8
2008-08-22 00:32 . 2008-08-22 00:32d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-22 00:31 . 2008-08-22 00:31d
C:Program FilesMSBuild
2008-08-22 00:30 . 2008-08-22 00:30d
C:WINDOWSsystem32XPSViewer
2008-08-22 00:30 . 2008-08-22 00:30d
C:Program FilesReference Assemblies
2008-08-22 00:29 . 2006-06-29 13:07 22,752 —a
C:WINDOWSsystem32spupdsvc.exe
2008-08-22 00:29 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-17 14:39 . 2008-09-07 21:20d
C:Documents and SettingsAdminApplication DataskypePM
2008-08-17 14:39 . 2008-08-17 14:39 56 —ah
C:WINDOWSsystem32ezsidmv.dat
2008-08-17 14:37 . 2008-08-17 14:37d
C:Program FilesCommon FilesSkype
2008-08-17 14:37 . 2008-08-17 14:37d
C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 14:13 . 2008-05-20 19:42 60,032 —a
C:WINDOWSsystem32driversUSBAUDIO.sys
2008-08-17 14:13 . 2008-05-20 19:42 60,032 —a—c— C:WINDOWSsystem32dllcacheusbaudio.sys
2008-08-17 14:13 . 2008-05-20 19:42 54,272 —a
C:WINDOWSsystem32vfwwdm32.dll
2008-08-17 14:13 . 2008-05-20 19:42 54,272 —a—c— C:WINDOWSsystem32dllcachevfwwdm32.dll
2008-08-17 14:13 . 2002-05-14 07:05 22,571 -ra
C:WINDOWSsystem32driversUsbMicfilt.sys
2008-08-17 14:10 . 2008-08-17 14:10d
C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 14:09 . 2005-02-23 14:58 11,776 —a
C:WINDOWSsystem32driversafc.sys
2008-08-17 14:08 . 2008-08-17 14:09d
C:Program FilesCommon FilesArcSoft
2008-08-17 14:08 . 2008-08-17 14:08d
C:Program FilesArcSoft
2008-08-17 14:08 . 2005-06-21 10:29 245,408 —a
C:WINDOWSsystem32unicows.dll
2008-08-17 14:08 . 1995-08-01 04:44 212,480 —a
C:WINDOWSPCDLIB32.DLL
2008-08-17 13:59 . 2008-08-17 13:59d
C:WINDOWSCatRoot
2008-08-17 13:59 . 2008-08-17 13:59d
C:Program FilesVimicro
2008-08-17 13:59 . 2000-10-31 12:00 307,200 —a
C:WINDOWSvidcap32.Exe
2008-08-17 13:59 . 2005-01-13 18:06 195,263 —a
C:WINDOWSsystem32driversusbvm302.sys
2008-08-17 13:59 . 2003-07-11 11:12 159,799 —a
C:WINDOWSsystem32VM302Prp.Ax
2008-08-17 13:59 . 2002-08-22 16:34 147,456 —a
C:WINDOWSVMCap.exe
2008-08-17 13:59 . 2003-05-15 17:16 61,440 —a
C:WINDOWSsystem32VM302STI.dll
2008-08-17 13:59 . 2004-12-09 15:41 57,344 —a
C:WINDOWSStillCap.exe
2008-08-17 13:59 . 2002-10-16 09:29 49,152 —a
C:WINDOWSamcap.exe
2008-08-17 13:59 . 2004-06-09 15:37 40,960 —a
C:WINDOWSVM_STI.EXE
2008-08-16 14:36 . 2008-08-16 14:36d
C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 14:33 . 2008-08-16 14:36d
C:Program FilesABBYY FineReader 9.0
2008-08-16 14:33 . 2008-08-16 14:33d
C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 14:30 . 2008-08-16 14:30d
C:Documents and SettingsAdminApplication DataHP
2008-08-16 14:27 . 2008-08-16 14:27d
C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 14:26 . 2008-08-16 14:26d
C:Program FilesCommon FilesHP
2008-08-16 14:25 . 2008-08-16 14:25d
C:Program FilesHewlett-Packard
2008-08-16 14:25 . 2008-08-16 14:25d
C:Program FilesCommon FilesHewlett-Packard
2008-08-16 14:22 . 1998-10-29 16:45 306,688 —a
C:WINDOWSIsUninst.exe
2008-08-16 14:22 . 2006-03-03 21:03 282,680 —a
C:WINDOWSsystem32HPZidr12.dll
2008-08-16 14:22 . 2006-03-03 21:02 204,800 —a
C:WINDOWSsystem32HPZipr12.dll
2008-08-16 14:22 . 2006-03-03 21:02 94,208 —a
C:WINDOWSsystem32HPZipt12.dll
2008-08-16 14:22 . 2006-03-03 21:03 69,632 —a
C:WINDOWSsystem32HPZipm12.exe
2008-08-16 14:22 . 2006-03-03 21:03 65,536 —a
C:WINDOWSsystem32HPZinw12.exe
2008-08-16 14:22 . 2006-03-03 21:02 57,344 —a
C:WINDOWSsystem32HPZisn12.dll
2008-08-16 14:21 . 2008-08-16 14:30 119,491 —a
C:WINDOWShpoins11.dat
2008-08-16 14:05 . 2008-08-16 14:26d
C:Program FilesHP
2008-08-16 14:04 . 2006-04-12 14:04 282,624 -ra
C:WINDOWSsystem32HPZc3212.dll
2008-08-16 14:04 . 2006-01-03 21:12 77,824 -ra
C:WINDOWSsystem32HPZIDS01.dll
2008-08-16 14:04 . 2006-04-12 14:04 49,664 -ra
C:WINDOWSsystem32driversHPZid412.sys
2008-08-16 14:04 . 2006-04-10 14:03 48,128 —a
C:WINDOWSsystem32hpzll054.dll
2008-08-16 14:04 . 2006-04-12 14:04 21,568 -ra
C:WINDOWSsystem32driversHPZius12.sys
2008-08-16 14:04 . 2006-04-12 14:04 16,496 -ra
C:WINDOWSsystem32driversHPZipr12.sys
2008-08-16 14:03 . 2006-04-12 14:02 659,456 -ra
C:WINDOWSsystem32hpowiax2.dll
2008-08-16 14:03 . 2006-04-12 14:02 598,016 -ra
C:WINDOWSsystem32hpotscl2.dll
2008-08-16 14:03 . 2006-04-12 14:02 254,026 -ra
C:WINDOWSsystem32hpovst09.dll
2008-08-16 14:03 . 2008-05-20 19:42 25,856 —a
C:WINDOWSsystem32driversusbprint.sys
2008-08-16 14:03 . 2008-05-20 19:42 25,856 —a—c— C:WINDOWSsystem32dllcacheusbprint.sys
2008-08-12 19:38 . 2008-08-12 19:38d
C:Documents and SettingsAll UsersApplication DatanView_Profiles.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-07 18:33
d
w C:Documents and SettingsAdminApplication DataSkype
2008-09-06 12:11
d
w C:Documents and SettingsAdminApplication DatauTorrent
2008-09-03 16:52
d
w C:Program FilesYahoo!
2008-08-31 09:57
d
w C:Program FilesМастер Открыток
2008-08-17 10:08
d—h—w C:Program FilesInstallShield Installation Information
2008-08-10 20:15
d
w C:Program FilesOperaAC
2008-08-02 10:46
d
w C:Program FilesGoogle
2008-08-02 09:06
d
w C:Program FilesCommon FilesAdobe
2008-08-02 09:06
d
w C:Documents and SettingsAdminApplication DataAdobeUM
2008-07-31 17:27
d
w C:Program FilesMyPlayCity.ru
2008-07-31 17:27
d
w C:Documents and SettingsAll UsersApplication DataEgoset
2008-07-23 20:43
d
w C:Documents and SettingsAdminApplication DataROALDevelopment
2008-07-22 20:34
d
w C:Program FilesCONEXANT
2008-07-21 07:44
d
w C:Program FilesOpera
2008-07-12 20:22
d
w C:Documents and SettingsAdminApplication DataMedia Player Classic
2008-07-12 15:34
d
w C:Documents and SettingsAdminApplication DataAhead
2008-07-12 14:34
d
w C:Program FilesTeamspeak2_RC2
2008-07-12 14:34
d
w C:Documents and SettingsAdminApplication Datateamspeak2
2008-07-12 12:54
d
w C:Documents and SettingsAdminApplication DataCorel
2008-07-12 12:34
d
w C:Program FilesRecover4all
2008-07-12 12:03
d
w C:Program FilesOntrack
2008-07-12 12:02
d
w C:Program FilesCommon FilesInstallShield
2008-07-12 12:01
d
w C:Program FilesFar
2008-07-12 11:38
d
w C:Documents and SettingsAdminApplication DataMra
2008-07-12 11:37
d
w C:Program FilesMail.Ru
2008-07-11 12:07
d
w C:Program FilesQIP
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.
Sigcheck
2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll
2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys
2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe
2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe
2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a
2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a
2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a
2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a
2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a
2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a
2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a
2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a
2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r
2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]*Newly Created Service* — WUAUSERV
.
— — — — ORPHANS REMOVED — — — —BHO-{1026AEE7-8218-3D80-8509-3370B14325C6} — C:WINDOWSsystem32mmx80297.dll
BHO-{4F7E9D97-BEE7-4F55-811D-19F15F2120AD} — C:WINDOWSsystem32geBtQgEw.dll
BHO-{830377CA-A201-4996-A10E-D3A24431ED86} — C:WINDOWSsystem32efcAQJab.dll
BHO-{F76F8781-3ECF-4FA7-8519-43291A793C73} — C:WINDOWSvanwxemgpbm.dll
ShellExecuteHooks-{4F7E9D97-BEE7-4F55-811D-19F15F2120AD} — C:WINDOWSsystem32geBtQgEw.dll
MSConfigStartUp-68b04aa4 — C:WINDOWSsystem32cixaclog.dll
MSConfigStartUp-ANTIVIRUS — C:Program FilesMSAMSA.exe
MSConfigStartUp-Run — C:Documents and SettingsAdminApplication DataAdobeManager.exe
MSConfigStartUp-runner1 — C:WINDOWSfaceback.exe.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 -: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 17:53:56
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesMcAfeeCommon FrameworkMctray.exe
.
**************************************************************************
.
Completion time: 2008-09-08 17:55:35 — machine was rebooted
ComboFix-quarantined-files.txt 2008-09-08 13:55:32Pre-Run: 36,750,561,280 байт свободно
Post-Run: 36,675,584,000 Ў ©в бў®Ў®¤®322
и еще один вопроос: подскажите пожалуста, при каждой загрузке виндовс стали сбиваться настройки панели задач(панель быстрого запуска, языковая панель и т.д.) происходить это стало после появления MS Antivirus’a или после того как мой брат самостоятельно решил его удалить, что это, последствия вирусов или какая то настройка сбита моим братом?
Запустите ваш антивирус и отключите мониторинг.
Далее удалите и скачайте свежую версию Combofix.Откройте блокнот и вставьте в него следующий текст:
File::
C:WINDOWSsystem32YUR94.exe
C:WINDOWSsystem32YUR91.exe
C:WINDOWSsystem322.ico
C:WINDOWSsystem32MSa.cpl
C:WINDOWSsxmaokgf.exe
C:WINDOWSsystem32YUR79.exe
C:WINDOWSsystem32YUR7A.exe
C:WINDOWSsystem32YUR7C.exe
C:WINDOWSsystem32YUR7B.exe
C:WINDOWSsystem321.ico
C:WINDOWSsystem32rgda.exe
C:WINDOWSsystem32rgdb.exe
Folder::
C:Program FilesPCHealthCenter
C:Program FilesMjcoreЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Combofix запуститься и выполнит процедуры описанные в созданном нами файле (удалит файлы троянов).
В остальном Combofix лог выглядит нормально, так что хотелось бы узнать как ваш компьютер работает теперь.
По поводу
подскажите пожалуста, при каждой загрузке виндовс стали сбиваться настройки панели задач(панель быстрого запуска, языковая панель и т.д.)
я не встречал таких проблем при инфицировании подобными троянами, так что наиболее вероятно именно изменение настроек Windows/реестра/доп программ.
Перетащить на combofix ярлык программы? у меня на рабочем столе нету ничего подобного, сама программа очен быстро инсталировалась и сразу открылась для скана. где взять свежую версию, ведь я скачал ее по вашей ссылке?
Судя по вашему сообщению, ваш антивирус удалил один из компонентов combofix. Поэтому я и предложил скачать свежую версию. Это вы можете сделать по приведённой выше ссылке. Причём до скачивания и использования утилиты отключите мониторинг (автозащиту) системы в вашем антивирусе.
Когда будете выбирать место сохранения Combofix, выберите Рабочий стол. На рабочем столе появится иконка Combofix (вы на неё кликали для запуска программы). Вот на эту иконку и перетащите, а затем бросьте файл CFScript из моего предыдущего сообщения.
Все сделал как вы сказали, занова скачал ComboFix, проделал процедуру удаления выделенных вами файлов… Вроде все отлично, и скорость загрузки винды снова как и раньше, так же пропала проблема с панелей задач, уж низнаю от этого или нет, не стал перезагружать компьютер 10 раз), щас загрузилась панель задач с сохраненными настройками, а потом понаблюдаю.
Огромное вам спасибо за помощь, вы мне очень помогли, если вы не против, я буду советовать своим друзьям искать помощь в проблеме вирусов на вашем форуме 🙂
Вот последний лог файл от последней процедуры ComboFix:
ComboFix 08-09-05.10 — Admin 2008-09-09 11:16:09.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1652 [GMT 4:00]
Running from: C:Documents and SettingsAdminРабочий столComboFix.exe
Command switches used :: C:Documents and SettingsAdminРабочий столCFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Program FilesMjcore
C:Program FilesMjcoreMjcore.dll
C:Program FilesPCHealthCenter
C:WINDOWSsxmaokgf.exe
C:WINDOWSsystem321.ico
C:WINDOWSsystem322.ico
C:WINDOWSsystem32MSa.cpl
C:WINDOWSsystem32rgda.exe
C:WINDOWSsystem32rgdb.exe
C:WINDOWSsystem32YUR79.exe
C:WINDOWSsystem32YUR7A.exe
C:WINDOWSsystem32YUR7B.exe
C:WINDOWSsystem32YUR7C.exe
C:WINDOWSsystem32YUR91.exe
C:WINDOWSsystem32YUR94.exe.
((((((((((((((((((((((((( Files Created from 2008-08-09 to 2008-09-09 )))))))))))))))))))))))))))))))
.2008-09-08 23:55 . 2008-09-08 23:55
d
C:Documents and SettingsAdminApplication DataBinarySense
2008-09-08 17:55 . 2008-09-08 23:55d
C:QUARANTINE
2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57d
C:Program FilesTrend Micro
2008-08-31 13:57 . 2008-08-31 13:57d
C:Program FilesМастер Открыток
2008-08-30 15:38 . 2008-08-30 15:39d
C:Documents and SettingsAdminApplication DataThe Bat!
2008-08-22 00:37 . 2008-08-22 00:37d
C:Documents and SettingsAdminApplication DataPRMT
2008-08-22 00:34 . 2008-08-22 00:34d
C:WINDOWSspeech
2008-08-22 00:32 . 2008-08-22 00:34d
C:WINDOWSLhsp
2008-08-22 00:32 . 2008-08-22 00:33d
C:Program FilesPRMT8
2008-08-22 00:32 . 2008-08-22 00:32d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-22 00:31 . 2008-08-22 00:31d
C:Program FilesMSBuild
2008-08-22 00:30 . 2008-08-22 00:30d
C:WINDOWSsystem32XPSViewer
2008-08-22 00:30 . 2008-08-22 00:30d
C:Program FilesReference Assemblies
2008-08-22 00:29 . 2006-06-29 13:07 22,752 —a
C:WINDOWSsystem32spupdsvc.exe
2008-08-22 00:29 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-17 14:39 . 2008-09-07 21:20d
C:Documents and SettingsAdminApplication DataskypePM
2008-08-17 14:39 . 2008-08-17 14:39 56 —ah
C:WINDOWSsystem32ezsidmv.dat
2008-08-17 14:37 . 2008-08-17 14:37d
C:Program FilesCommon FilesSkype
2008-08-17 14:37 . 2008-08-17 14:37d
C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 14:13 . 2008-05-20 19:42 60,032 —a
C:WINDOWSsystem32driversUSBAUDIO.sys
2008-08-17 14:13 . 2008-05-20 19:42 60,032 —a—c— C:WINDOWSsystem32dllcacheusbaudio.sys
2008-08-17 14:13 . 2008-05-20 19:42 54,272 —a
C:WINDOWSsystem32vfwwdm32.dll
2008-08-17 14:13 . 2008-05-20 19:42 54,272 —a—c— C:WINDOWSsystem32dllcachevfwwdm32.dll
2008-08-17 14:13 . 2002-05-14 07:05 22,571 -ra
C:WINDOWSsystem32driversUsbMicfilt.sys
2008-08-17 14:10 . 2008-08-17 14:10d
C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 14:09 . 2005-02-23 14:58 11,776 —a
C:WINDOWSsystem32driversafc.sys
2008-08-17 14:08 . 2008-08-17 14:09d
C:Program FilesCommon FilesArcSoft
2008-08-17 14:08 . 2008-08-17 14:08d
C:Program FilesArcSoft
2008-08-17 14:08 . 2005-06-21 10:29 245,408 —a
C:WINDOWSsystem32unicows.dll
2008-08-17 14:08 . 1995-08-01 04:44 212,480 —a
C:WINDOWSPCDLIB32.DLL
2008-08-17 13:59 . 2008-08-17 13:59d
C:WINDOWSCatRoot
2008-08-17 13:59 . 2008-08-17 13:59d
C:Program FilesVimicro
2008-08-17 13:59 . 2000-10-31 12:00 307,200 —a
C:WINDOWSvidcap32.Exe
2008-08-17 13:59 . 2005-01-13 18:06 195,263 —a
C:WINDOWSsystem32driversusbvm302.sys
2008-08-17 13:59 . 2003-07-11 11:12 159,799 —a
C:WINDOWSsystem32VM302Prp.Ax
2008-08-17 13:59 . 2002-08-22 16:34 147,456 —a
C:WINDOWSVMCap.exe
2008-08-17 13:59 . 2003-05-15 17:16 61,440 —a
C:WINDOWSsystem32VM302STI.dll
2008-08-17 13:59 . 2004-12-09 15:41 57,344 —a
C:WINDOWSStillCap.exe
2008-08-17 13:59 . 2002-10-16 09:29 49,152 —a
C:WINDOWSamcap.exe
2008-08-17 13:59 . 2004-06-09 15:37 40,960 —a
C:WINDOWSVM_STI.EXE
2008-08-16 14:36 . 2008-08-16 14:36d
C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 14:33 . 2008-08-16 14:36d
C:Program FilesABBYY FineReader 9.0
2008-08-16 14:33 . 2008-08-16 14:33d
C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 14:30 . 2008-08-16 14:30d
C:Documents and SettingsAdminApplication DataHP
2008-08-16 14:27 . 2008-08-16 14:27d
C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 14:26 . 2008-08-16 14:26d
C:Program FilesCommon FilesHP
2008-08-16 14:25 . 2008-08-16 14:25d
C:Program FilesHewlett-Packard
2008-08-16 14:25 . 2008-08-16 14:25d
C:Program FilesCommon FilesHewlett-Packard
2008-08-16 14:22 . 1998-10-29 16:45 306,688 —a
C:WINDOWSIsUninst.exe
2008-08-16 14:22 . 2006-03-03 21:03 282,680 —a
C:WINDOWSsystem32HPZidr12.dll
2008-08-16 14:22 . 2006-03-03 21:02 204,800 —a
C:WINDOWSsystem32HPZipr12.dll
2008-08-16 14:22 . 2006-03-03 21:02 94,208 —a
C:WINDOWSsystem32HPZipt12.dll
2008-08-16 14:22 . 2006-03-03 21:03 69,632 —a
C:WINDOWSsystem32HPZipm12.exe
2008-08-16 14:22 . 2006-03-03 21:03 65,536 —a
C:WINDOWSsystem32HPZinw12.exe
2008-08-16 14:22 . 2006-03-03 21:02 57,344 —a
C:WINDOWSsystem32HPZisn12.dll
2008-08-16 14:21 . 2008-08-16 14:30 119,491 —a
C:WINDOWShpoins11.dat
2008-08-16 14:05 . 2008-08-16 14:26d
C:Program FilesHP
2008-08-16 14:04 . 2006-04-12 14:04 282,624 -ra
C:WINDOWSsystem32HPZc3212.dll
2008-08-16 14:04 . 2006-01-03 21:12 77,824 -ra
C:WINDOWSsystem32HPZIDS01.dll
2008-08-16 14:04 . 2006-04-12 14:04 49,664 -ra
C:WINDOWSsystem32driversHPZid412.sys
2008-08-16 14:04 . 2006-04-10 14:03 48,128 —a
C:WINDOWSsystem32hpzll054.dll
2008-08-16 14:04 . 2006-04-12 14:04 21,568 -ra
C:WINDOWSsystem32driversHPZius12.sys
2008-08-16 14:04 . 2006-04-12 14:04 16,496 -ra
C:WINDOWSsystem32driversHPZipr12.sys
2008-08-16 14:03 . 2006-04-12 14:02 659,456 -ra
C:WINDOWSsystem32hpowiax2.dll
2008-08-16 14:03 . 2006-04-12 14:02 598,016 -ra
C:WINDOWSsystem32hpotscl2.dll
2008-08-16 14:03 . 2006-04-12 14:02 254,026 -ra
C:WINDOWSsystem32hpovst09.dll
2008-08-16 14:03 . 2008-05-20 19:42 25,856 —a
C:WINDOWSsystem32driversusbprint.sys
2008-08-16 14:03 . 2008-05-20 19:42 25,856 —a—c— C:WINDOWSsystem32dllcacheusbprint.sys
2008-08-12 19:38 . 2008-08-12 19:38d
C:Documents and SettingsAll UsersApplication DatanView_Profiles.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-08 20:39
d
w C:Documents and SettingsAdminApplication DataSkype
2008-09-06 12:11
d
w C:Documents and SettingsAdminApplication DatauTorrent
2008-09-03 16:52
d
w C:Program FilesYahoo!
2008-08-17 10:08
d—h—w C:Program FilesInstallShield Installation Information
2008-08-10 20:15
d
w C:Program FilesOperaAC
2008-08-02 10:46
d
w C:Program FilesGoogle
2008-08-02 09:06
d
w C:Program FilesCommon FilesAdobe
2008-08-02 09:06
d
w C:Documents and SettingsAdminApplication DataAdobeUM
2008-07-31 17:27
d
w C:Program FilesMyPlayCity.ru
2008-07-31 17:27
d
w C:Documents and SettingsAll UsersApplication DataEgoset
2008-07-23 20:43
d
w C:Documents and SettingsAdminApplication DataROALDevelopment
2008-07-22 20:34
d
w C:Program FilesCONEXANT
2008-07-21 07:44
d
w C:Program FilesOpera
2008-07-12 20:22
d
w C:Documents and SettingsAdminApplication DataMedia Player Classic
2008-07-12 15:34
d
w C:Documents and SettingsAdminApplication DataAhead
2008-07-12 14:34
d
w C:Program FilesTeamspeak2_RC2
2008-07-12 14:34
d
w C:Documents and SettingsAdminApplication Datateamspeak2
2008-07-12 12:54
d
w C:Documents and SettingsAdminApplication DataCorel
2008-07-12 12:34
d
w C:Program FilesRecover4all
2008-07-12 12:03
d
w C:Program FilesOntrack
2008-07-12 12:02
d
w C:Program FilesCommon FilesInstallShield
2008-07-12 12:01
d
w C:Program FilesFar
2008-07-12 11:38
d
w C:Documents and SettingsAdminApplication DataMra
2008-07-12 11:37
d
w C:Program FilesMail.Ru
2008-07-11 12:07
d
w C:Program FilesQIP
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.
Sigcheck
2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll
2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys
2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe
2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe
2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2008-09-08_17.55.21.92 )))))))))))))))))))))))))))))))))))))))))
.
— 2008-09-08 13:50:01 71,444 —-a-w C:WINDOWSsystem32perfc009.dat
+ 2008-09-09 07:07:22 71,444 —-a-w C:WINDOWSsystem32perfc009.dat
— 2008-09-08 13:50:01 84,660 —-a-w C:WINDOWSsystem32perfc019.dat
+ 2008-09-09 07:07:22 84,660 —-a-w C:WINDOWSsystem32perfc019.dat
— 2008-09-08 13:50:01 441,760 —-a-w C:WINDOWSsystem32perfh009.dat
+ 2008-09-09 07:07:22 441,760 —-a-w C:WINDOWSsystem32perfh009.dat
— 2008-09-08 13:50:02 485,242 —-a-w C:WINDOWSsystem32perfh019.dat
+ 2008-09-09 07:07:22 485,242 —-a-w C:WINDOWSsystem32perfh019.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a
2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a
2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a
2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a
2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a
2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a
2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a
2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a
2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r
2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 11:17:22
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2008-09-09 11:17:47
ComboFix-quarantined-files.txt 2008-09-09 07:17:43
ComboFix2.txt 2008-09-08 13:55:36Pre-Run: 36,681,261,056 байт свободно
Post-Run: 36,669,071,360 байт свободно252
Еще один вопрос: у меня есть так же не разрешимая для меня проблема с одним вирусом или трояном на работе, файл зараженный или сам вирус: ftpdll.dll, можно ли мне разобраться с ним в этой теме или создать новую?
Огромное вам спасибо за помощь, вы мне очень помогли, если вы не против, я буду советовать своим друзьям искать помощь в проблеме вирусов на вашем форуме 🙂
Рад помочь вам, и конечно же буд рад помочь вашим друзьям 🙂
проблема с одним вирусом или трояном на работе, файл зараженный или сам вирус: ftpdll.dll
Да, создайте пожалуйста новую тему, не забудьте приложить HijackThis лог.
И последнее.
Удалите Combofix с вашего компьютера. Прочитайте следующее: Как правильно удалить combofix с компьютера.Так же желательно инсталлировать программу Spybot Search and Destroy, она будет защищать ваш компьютер параллельно антивирусу.
И ещё, создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса.
Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы.
В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
- Для ответа в этой теме необходимо авторизоваться.
