- This topic has 18 ответов, 3 участника, and was last updated 16 years, 1 month назад by
.
-
Сообщения
-
Здравствуйте.
Дело в том, что у меня стал сильно тормозить инет, решил просканиться.Я Пару дней назад скачал AddNews 2.0 с Варезного сайта(написано было, что там лежит кряк), запустил этот кряк, ничего не произошло, положил его в папку с базами программы запустил, тоже ничего, НО!! Когда удалял его(кряк), выскочило окошко, что нельзя удалить, потом выскочил Unlocker и сказал что процессом пользуется SVCHOST.EXE, находящийся в папку system32, решил проверить.
Смотрю, только один svchost, решил сравнить в WinHex’е русскую и английскую букву c, оказалось, что это настоящий svchost.
Далее я ребутнул компьютер .
У меня Nod32 v4, использовал SysInspector, сравнивал Безвирусную точку и с Подозрением на вирусы.
Нашел подозрительный файл mssrv32.exe в system32, решил проверить.
Запустил его(что мне было терять, раз уж уже заражен), и тут неожиданно запищал Nod, говоря, что этот файл создал драйвер syssrv.sys, и затем удалил его.
Решил проверить кряк программы и вирус(кряк я в архиве оставил), проверил в WinHex’е, и что удивительно!
Я нашел целый кусок* одинакового кода.
* — почти вся программа.
После удалил вирус, а думаю зря.
Теперь сам вопрос:
Я думаю, что компьютер все еще заражен, AVZ просканировал, ничего не нашел, что посоветуете.
P.S. Точки восстановления я никогда не делаю(места на жестком диске очень мало — 79GB сам жесткий диск)Еще обнаружил, что он записан в автозапуск, и в автозапуске есть подпапки
OptionalComponents
| | |
MAPI MSFS IMAILP.S.
MAPI- понятно перехватывает API функции
IMAIL — тут даже объяснять не надо
А вот что такое MSFS???Вот если что созданный драйвер
http://uploadbox.com/files/a31ec88b19
P.S. Еще в папке temp, которая была в папке с Windows были файлы с расширением search, созданные в момент запуска компьютера.
Здравствуйте.
Извините за задержку 🙂
Но в данный момент разбираю темы с ещё большим сроком давности.
Время мало, а помочь нужно многим.Давайте начнём с программы RSIT.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
info.txt logfile of random’s system information tool 1.06 2009-03-28 20:32:52
======Uninstall list======
.print Client Windows—>MsiExec.exe /X{FBB862E3-4F8F-4C7C-8D15-1A9FB16A3E41}
—>MsiExec /X{AC54E544-3E42-443C-A91D-A00A6974C592}
7-Zip 4.65—>»C:Program Files7-ZipUninstall.exe»
Acronis True Image Home—>MsiExec.exe /X{37C8899D-FD70-481F-94AA-1F1B08765E22}
ADDNEWS 2.0 для публикации новостей под управлением DLE (DataLife Engine)—>C:Program FilesAddNewsUninstall.exe
Adobe Anchor Service CS3—>MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3—>MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Bridge CS3—>MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting—>MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe Camera Raw 4.0—>MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps—>MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color — Photoshop Specific—>MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings—>MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Recommended Settings—>MsiExec.exe /I{BD087F50-46B2-43E4-BD73-5DB3DC20B47C}
Adobe Color JA Extra Settings—>MsiExec.exe /I{D92B72E2-C854-4738-8ED6-4C3661CC17AE}
Adobe Color NA Extra Settings—>MsiExec.exe /I{6179A7D2-A668-4F1D-BC9A-DCC6A10C7871}
Adobe Default Language CS3—>MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3—>MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2—>MsiExec.exe /I{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}
Adobe Flash Player 10 Plugin—>C:WINDOWSsystem32MacromedFlashuninstall_plugin.exe
Adobe Flash Player ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Fonts All—>MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Viewer CS3—>MsiExec.exe /I{04AF207D-9A77-465A-8B76-991F6AB66245}
Adobe Linguistics CS3—>MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files—>MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3—>C:Program FilesCommon FilesAdobeInstallersd5fe1f44895aadff2baacf24fe1402Setup.exe
Adobe Photoshop CS3—>MsiExec.exe /I{FD0399AC-A38B-4D4B-8164-D7B73AC24030}
Adobe Setup—>MsiExec.exe /I{30981FCD-4150-4AB4-BAC5-75C9E914347D}
Adobe Stock Photos CS3—>MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support—>MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3—>MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client—>MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin—>MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3—>MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
AIMP2—>C:Program FilesAIMP2Uninstall.exe
Algodoo Phun edition v5.26—>»C:Algodoo Phun Editionunins000.exe»
ATI — Software Uninstall Utility—>C:Program FilesATI TechnologiesUninstallAllAtiCimUn.exe
ATI Catalyst Control Center—>MsiExec.exe /I{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Auslogics BoostSpeed—>»C:Program FilesAuslogicsAuslogics BoostSpeedunins000.exe»
AvaLink DC++ 1.55—>C:Program FilesAvaLink DC++Uninstall.exe
Borland Delphi 7—>MsiExec.exe /I{72263053-50D1-4598-9502-51ED64E54C51}
Camtasia Studio 5—>MsiExec.exe /I{7BB40A22-8D98-43F9-A08A-E7EFF5AB1324}
CCleaner (remove only)—>»C:Program FilesCCleaneruninst.exe»
C-Media 3D Audio—>C:WINDOWSCMIUnInstall.exe
Data Cod Downloader 1.29—>»C:Program FilesDCodDownloaderunins000.exe»
Decker v1.9 (Русская версия)—>»C:Program FilesDeckerunins000.exe»
DLE Tool 4.01—>C:Program FilesDLE ToolUninstall.exe
Download Master version 5.5.7.1145—>»C:Program FilesDownload Masterunins000.exe»
EasyRecovery Professional—>C:PROGRA~1COMMON~1INSTAL~1Driver7INTEL3~1IDriver.exe /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1033
Fallout2—>C:WINDOWSipuninst.exe -fC:IntrplayBlackIsleFallout2uninst.log
Fate (версия 1.2)—>C:FateUninstall.exe
FileZilla Client 3.2.3.1—>C:Program FilesFileZilla FTP Clientuninstall.exe
Firebird 2.0.3—>»C:Program FilesFirebirdFirebird_2_0unins000.exe»
Fraps (remove only)—>»C:Fraps2uninstall.exe»
Gish—>C:PROGRA~1COMMON~1INSTAL~1Driver8INTEL3~1IDriver.exe /M{092D736A-E265-4F9A-BF92-135909911AB5}
GTK+ Runtime 2.12.1 rev b (remove only)—>C:Program FilesCommon FilesGTK2.0uninst.exe
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
IDAutomation.com Code 39 Font—>C:Program FilesIDAutomation.com Code 39 Fontuninstall.exe
KGB Archiver 1.2.1.24—>»C:Program FilesKGB Archiverunins000.exe»
K-Lite Codec Pack 4.5.3 (Standard)—>»C:Program FilesK-Lite Codec Packunins000.exe»
LanGrabber v1.0—>»C:Program FilesLanGrabber10unins000.exe»
Malwarebytes’ Anti-Malware—>»C:Program FilesMalwarebytes’ Anti-Malwareunins000.exe»
Mario Forever 4.0—>C:Program FilesMario Foreveruninst.exe
MD5 CrackFAST 2.10—>»C:Program Files16 SoftwareMD5 CrackFASTuninst.exe»
MediaCoder 0.6.2—>C:Program FilesMediaCoderuninst.exe
MetaFrame Presentation Server Web Client for Win32—>C:WINDOWSsystem32ctxsetup.exe /uninst C:PROGRA~1Citrixicaweb32uninst.inf
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack — RUS—>MsiExec.exe /I{34AB2437-1B34-3E2D-9DE8-3E2D35335B3F}
Microsoft .NET Framework 2.0 Service Pack 1—>MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack — RUS—>MsiExec.exe /I{CFF15B94-E062-3701-869A-4CDF4590461E}
Microsoft .NET Framework 3.0 Service Pack 1—>MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft .NET Framework 3.5 Language Pack — rus—>MsiExec.exe /I{95E44F11-19F0-39EA-A894-792E054AA1CF}
Microsoft .NET Framework 3.5—>C:WINDOWSMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5setup.exe
Microsoft .NET Framework 3.5—>MsiExec.exe /I{2FC099BD-AC9B-33EB-809C-D332E1B27C40}
Microsoft Office XP (профессиональный выпуск)—>MsiExec.exe /I{91110419-6000-11D3-8CFE-0050048383C9}
Minefield (3.6a1pre)—>C:Program FilesMinefielduninstallhelper.exe
MSXML 4.0 SP2 (KB941833)—>MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
NOD32 Update Viewer 4.00.0—>»C:Program FilesNOD32viewunins000.exe»
NVIDIA PhysX v8.10.13—>MsiExec.exe /X{AC54E544-3E42-443C-A91D-A00A6974C592}
OnlineLive—>MsiExec.exe /I{B435AE22-F62A-4402-A4E5-E612631B92C9}
PDF Editor 2—>C:WINDOWScadkasdeinst01e.exe «C:Program FilesPDF Editor 2»
PDF Settings—>MsiExec.exe /I{293D5729-7C01-4FA4-A4DE-BB6A1587BBB9}
PE Explorer 1.99 R5—>»C:Program FilesPE Explorerunins000.exe»
ProHacker 2.0—>MsiExec.exe /I{2131F404-7FED-4217-90EB-25ACE5FEF9F3}
ProxySwitcher Standard—>»C:Program FilesProxy Switcher Standardunins000.exe»
Restorator 2007—>»C:Program FilesRestorator 2007unins000.exe»
RubicCube 1.0.2—>»C:Program FilesRavlykRubicCubeunins000.exe»
SurfOffline Professional 2—>»C:Program FilesSurfOffline Professional 2uninstall.exe»
Tony Hawk’s Underground 2—>»C:Program FilesTony Hawk’s Underground 2unins000.exe»
WebMoney Advisor—>regsvr32 /u /s «C:Program FilesWebMoney Advisorwmadvisor.dll»
WebMoney Agent—>C:Program FilesWebMoney Agentuninst_wmagent.exe
WebMoney Keeper Classic 3.7.0.0—>»C:Program FilesWebMoneyUninstall.exe» «C:Program FilesWebMoneyinstall.log» -u
Winamp (remove only)—>»C:Program FilesWinampUninstWA.exe»
Windows Imaging Component—>»C:WINDOWS$NtUninstallWIC$spuninstspuninst.exe»
Windows Media Format 11 runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
WinHex—>C:WINDOWSHEXWinHex.exe uninst
WinPcap 4.0 beta 2—>C:Program FilesWinPcapuninstall.exe
WinRAR archiver—>C:Program FilesWinRARuninstall.exe
XML Paper Specification Shared Components Language Pack 1.0—>»C:WINDOWS$NtUninstallXPSEPSCLP$spuninstspuninst.exe»
КОМПАС-3D V9—>MsiExec.exe /I{5DF5D590-54D8-46FF-836B-FE0BB6A2E211}
Недетские Гонки—>MsiExec.exe /X{FDACD776-2B0F-427F-95BD-FAF664D75308}
Охота на Рыбалку 2—>»C:Охота на Рыбалку 2unins000.exe»
Проигрыватель Windows Media 11—>»C:Program FilesWindows Media PlayerSetup_wm.exe» /Uninstall
Хакер. Искажение времени—>C:Program FilesInstallShield Installation Information{43693897-966F-4F10-8E37-FAAF27EC32ED}setup.exe -runfromtemp -l0x0019 -removeonly
Языковой пакет Microsoft .NET Framework 3.5 — RUS—>c:WINDOWSMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 Language Pack — russetup.exe======Hosts File======
127.0.0.1 localhost admin bubblebubble.ru for_dron
127.0.0.1 serial.alcohol-soft.com
127.0.0.1 http://www.alcohol-soft.com
127.0.0.1 images.alcohol-soft.com
127.0.0.1 trial.alcohol-soft.com
127.0.0.1 alcohol-soft.com
smstool http://www.smstool.ru http://www.smstool.rusend
127.0.0.1 http://www.subdomain.localhost
127.0.0.1 http://www.subdomain.test1.ru
127.0.0.1 subdomain.localhostSecuritycenter WMI appears to be broken
======System event log======
Computer Name: VISTA
Event Code: 62486
Message: Invalid parametersRecord Number: 3449
Source Name: ati2mtag
Time Written: 20090203172318.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 62486
Message: Invalid parametersRecord Number: 3448
Source Name: ati2mtag
Time Written: 20090203172318.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 62486
Message: Invalid parametersRecord Number: 3447
Source Name: ati2mtag
Time Written: 20090203172318.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 62486
Message: Invalid parametersRecord Number: 3446
Source Name: ati2mtag
Time Written: 20090203172318.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 62486
Message: Invalid parametersRecord Number: 3445
Source Name: ati2mtag
Time Written: 20090203172318.000000+180
Event Type: информация
User:=====Application event log=====
Computer Name: VISTA
Event Code: 1000
Message: Счетчики производительности для службы WmiApRpl (WmiApRpl) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.Record Number: 5
Source Name: LoadPerf
Time Written: 20081230201831.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 1000
Message: Счетчики производительности для службы TermService (Службы терминалов) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.Record Number: 4
Source Name: LoadPerf
Time Written: 20081230201824.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 1000
Message: Счетчики производительности для службы RemoteAccess (Маршрутизация и удаленный доступ) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.Record Number: 3
Source Name: LoadPerf
Time Written: 20081230201632.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 1000
Message: Счетчики производительности для службы PSched (PSched) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.Record Number: 2
Source Name: LoadPerf
Time Written: 20081230201548.000000+180
Event Type: информация
User:Computer Name: VISTA
Event Code: 1000
Message: Счетчики производительности для службы RSVP (QoS RSVP) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.Record Number: 1
Source Name: LoadPerf
Time Written: 20081230201517.000000+180
Event Type: информация
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=C:Program FilesBorlandDelphi7Bin;C:Program FilesBorlandDelphi7ProjectsBpl;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 3 Stepping 4, GenuineIntel
«PROCESSOR_REVISION»=0304
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
EOF
log.txt
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Администратор at 2009-03-28 20:32:30
Microsoft Windows XP Professional Service Pack 3
System drive C: has 19 GB (25%) free of 76 GB
Total RAM: 511 MB (36% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:32:48, on 28.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesFirebirdFirebird_2_0binfbguard.exe
C:Program FilesUnlockerUnlockerAssistant.exe
C:WINDOWSsystem32RunDll32.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:FRAPS2FRAPS.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesFirebirdFirebird_2_0binfbserver.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:Program FilesATI TechnologiesATI.ACEcli.exe
C:EKo(copy please)DownloadsАрхивыcrackwasm.ruutorrent.exe
C:Documents and SettingsАдминистраторМои документыDownloadsRSIT.exe
C:Program Filestrend microАдминистратор.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.apeha.ru
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O1 — Hosts: smstool http://www.smstool.ru http://www.smstool.rusend
O1 — Hosts: 127.0.0.2 custom-host
O1 — Hosts: 127.0.0.2 http://www.custom
O1 — Hosts: 127.0.0.2 custom
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O2 — BHO: Mario Forever Toolbar Helper — {A20854FD-DDB5-4931-8F76-D11EA2364D94} — (no file)
O2 — BHO: TBSB03223 — {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — C:Program FilesWebMoney Advisorwmadvisor.dll
O3 — Toolbar: Mario Forever Toolbar — {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} — (no file)
O3 — Toolbar: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O4 — HKLM..Run: [UnlockerAssistant] «C:Program FilesUnlockerUnlockerAssistant.exe»
O4 — HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 — HKLM..Run: [ATICCC] «C:Program FilesATI TechnologiesATI.ACEcli.exe» runtime -Delay
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKLM..Run: [exlorer.exe] C:WINDOWSsystem32exlorer.exe
O4 — HKLM..RunOnce: [Malwarebytes’ Anti-Malware] C:Program FilesMalwarebytes’ Anti-Malwarembamgui.exe /install /silent
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKCU..Run: [Fraps] C:FRAPS2FRAPS.EXE
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [AlcoholAutomount] «C:Program FilesAlcohol SoftAlcohol 120axcmd.exe» /automount
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_013] rebuild.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O6 — HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O8 — Extra context menu item: Add to &Teleport — C:Program FilesTeleport Proteleport.htm
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O9 — Extra button: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra ‘Tools’ menuitem: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O10 — Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll
O23 — Service: Acronis Scheduler2 Service (AcrSch2Svc) — Acronis — C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: ATI Smart — Unknown owner — C:WINDOWSsystem32ati2sgag.exe
O23 — Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) — Apple Computer, Inc. — C:Program FilesBonjourmDNSResponder.exe
O23 — Service: ESET HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: ESET Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Firebird Guardian — DefaultInstance (FirebirdGuardianDefaultInstance) — FirebirdSQL Project — C:Program FilesFirebirdFirebird_2_0binfbguard.exe
O23 — Service: Firebird Server — DefaultInstance (FirebirdServerDefaultInstance) — FirebirdSQL Project — C:Program FilesFirebirdFirebird_2_0binfbserver.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) — CACE Technologies — C:Program FilesWinPcaprpcapd.exe
O23 — Service: StarWind AE Service (StarWindServiceAE) — Rocket Division Software — C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 8779 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]
IE 4.x-6.x BHO for Download Master — C:PROGRA~1DOWNLO~1dmiehlp.dll [2008-10-24 157696][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A20854FD-DDB5-4931-8F76-D11EA2364D94}]
Mario Forever Toolbar Helper[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
TBSB03223 Class — C:Program FilesWebMoney Advisorwmadvisor.dll [2008-09-05 2409472][HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} — []
{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — WebMoney Advisor — C:Program FilesWebMoney Advisorwmadvisor.dll [2008-09-05 2409472][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«UnlockerAssistant»=C:Program FilesUnlockerUnlockerAssistant.exe [2008-05-02 15872]
«Cmaudio»=RunDll32 cmicnfg.cpl,CMICtrlWnd []
«ATICCC»=C:Program FilesATI TechnologiesATI.ACEcli.exe [2006-01-02 45056]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2009-02-06 2021400]
«exlorer.exe»=C:WINDOWSsystem32exlorer.exe [][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
«Malwarebytes’ Anti-Malware»=C:Program FilesMalwarebytes’ Anti-Malwarembamgui.exe [2009-03-26 401040][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=C:Program FilesVistaDriveIconVistaDrv.exe [2008-01-02 132096]
«Fraps»=C:FRAPS2FRAPS.EXE [2006-11-04 338432]
«ctfmon.exe»=C:WINDOWSsystem32ctfmon.exe [2008-08-19 30208]
«AlcoholAutomount»=C:Program FilesAlcohol SoftAlcohol 120axcmd.exe [2009-02-24 203928][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronis Scheduler2 Service]
C:Program FilesCommon FilesAcronisSchedule2schedhlp.exe [2008-11-04 165144][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronisTimounterMonitor]
C:Program FilesAcronisTrueImageHomeTimounterMonitor.exe [2008-11-04 962136][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregTrueImageMonitor.exe]
C:Program FilesAcronisTrueImageHomeTrueImageMonitor.exe [2008-11-04 4382376][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2006-05-03 61440][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2006-10-18 133632][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalprocexp90.Sys]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm.sys]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkprocexp90.Sys]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=1
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1
«DisableStatusMessages»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoSMHelp»=1
«NoSMMyPictures»=1
«NoSMConfigurePrograms»=1
«ForceStartMenuLogoff»=0
«ForceClassicControlPanel»=1
«NoResolveTrack»=1
«NoResolveSearch»=1
«NoThumbnailCache»=1
«NoInstrumentation»=0
«NoStartMenuMFUprogramsList»=1
«NoUserNameInStartMenu»=1
«NoCommonGroups»=1
«GreyMSIAds»=1[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:EKo(copy please)DownloadsАрхивыcrackwasm.ruutorrent.exe»=»C:EKo(copy please)DownloadsАрхивыcrackwasm.ruutorrent.exe:*:Enabled:µTorrent»
«C:Program FilesBonjourmDNSResponder.exe»=»C:Program FilesBonjourmDNSResponder.exe:*:Enabled:Bonjour»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2Z]
shellAutoRuncommand — Z:.Start.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{07511351-e804-11dd-9fb0-000129ff3f73}]
shellAutoRuncommand — E:autorun.exe
shellreaditcommand — notepad readme.doc[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e79fffd9-1338-11de-a065-000129ff3f73}]
shellAutoRuncommand — E:KOMPAS-3D_V9setup.exe======List of files/folders created in the last 1 months======
2009-03-28 20:32:31 —-D—- C:Program Filestrend micro
2009-03-28 20:32:30 —-D—- C:rsit
2009-03-28 20:26:16 —-D—- C:Documents and SettingsАдминистраторApplication DataMalwarebytes
2009-03-28 20:26:09 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-03-28 20:26:09 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-03-28 01:04:05 —-D—- C:Program FilesPDF Editor 2
2009-03-28 01:04:05 —-A—- C:WINDOWScadkasdeinst01e.exe
2009-03-28 00:22:10 —-A—- C:WINDOWSsystem32lamerxp.exe
2009-03-27 23:44:50 —-D—- C:Program FilesJlgSolera
2009-03-27 21:50:28 —-D—- C:Documents and SettingsAll UsersApplication Data16 Software
2009-03-27 21:49:51 —-D—- C:Program Files16 Software
2009-03-27 21:49:51 —-D—- C:Documents and SettingsАдминистраторApplication Data16 Software
2009-03-27 21:49:37 —-D—- C:Program FilesCommon FilesGTK
2009-03-27 21:37:04 —-D—- C:Program FilesENV
2009-03-27 20:34:33 —-A—- C:WINDOWSsystem32GDS32.DLL
2009-03-27 20:34:33 —-A—- C:WINDOWSsystem32FBCLIENT.DLL
2009-03-27 20:34:30 —-D—- C:Program FilesFirebird
2009-03-27 20:20:39 —-D—- C:Program FilesAddNews
2009-03-27 19:23:46 —-D—- C:WebServers
2009-03-27 17:41:28 —-D—- C:Program FilesDLE Tool
2009-03-27 17:23:50 —-SHD—- C:RECYCLER
2009-03-27 17:05:58 —-D—- C:Program FilesCCleaner
2009-03-27 16:46:47 —-D—- C:WINDOWSTEMP
2009-03-27 16:28:46 —-D—- C:Program FilesRavlyk
2009-03-27 13:40:09 —-D—- C:Fate
2009-03-27 12:34:11 —-A—- C:WINDOWSsystem321.bat
2009-03-27 12:00:10 —-A—- C:mscms.dll
2009-03-26 20:19:49 —-D—- C:Documents and SettingsАдминистраторApplication DataFileZilla
2009-03-26 20:19:21 —-D—- C:Program FilesFileZilla FTP Client
2009-03-26 20:17:25 —-D—- C:FileZilla
2009-03-25 21:55:24 —-A—- C:WINDOWSusdthank.ini
2009-03-25 21:55:24 —-A—- C:WINDOWSidc.ini
2009-03-25 21:39:30 —-D—- C:Program FilesLikeRusXP 5.4
2009-03-25 20:15:14 —-D—- C:Головоломки
2009-03-25 19:35:51 —-D—- C:USD
2009-03-25 14:22:06 —-D—- C:Program FilesSmsTool
2009-03-24 21:53:56 —-D—- C:Algodoo Phun Edition
2009-03-24 21:03:10 —-D—- C:Documents and SettingsАдминистраторApplication DataDatarescue
2009-03-24 20:51:47 —-D—- C:Program FilesJufsoft
2009-03-24 20:35:09 —-D—- C:Охота на Рыбалку 2
2009-03-24 20:02:16 —-D—- C:PostNews30
2009-03-24 12:49:16 —-A—- C:WinsockFix.sfx.exe
2009-03-24 12:28:19 —-D—- C:Python25
2009-03-23 20:00:36 —-A—- C:WINDOWSipuninst.exe
2009-03-23 19:50:00 —-D—- C:Intrplay
2009-03-23 18:46:39 —-D—- C:Program FilesGSC World Publishing
2009-03-23 00:40:16 —-D—- C:Program FilesХакер. Искажение времени
2009-03-23 00:39:46 —-D—- C:Documents and SettingsАдминистраторApplication DataInstallShield
2009-03-20 09:11:43 —-D—- C:Documents and SettingsАдминистраторApplication DataASCON
2009-03-20 01:09:10 —-HD—- C:WINDOWSsystem32GroupPolicy
2009-03-20 00:54:31 —-A—- C:WINDOWSsystem32haspvdd.dll
2009-03-20 00:53:42 —-A—- C:WINDOWSsystem32hlvdd.dll
2009-03-20 00:52:34 —-D—- C:Program FilesCommon FilesASCON Shared
2009-03-20 00:49:06 —-D—- C:Program FilesASCON
2009-03-20 00:38:41 —-D—- C:Documents and SettingsАдминистраторApplication DataYandex
2009-03-19 21:25:02 —-A—- C:WINDOWSwinsight.ini
2009-03-19 21:19:38 —-D—- C:Program FilesCommon FilesBorland Shared
2009-03-19 21:19:38 —-D—- C:Program FilesBorland
2009-03-19 21:15:15 —-D—- C:Borland Delphi 7 Studio Enterprise
2009-03-18 21:58:28 —-A—- C:WINDOWSBlueFace.INI
2009-03-18 19:03:12 —-D—- C:Documents and SettingsAll UsersApplication DataBimesoft
2009-03-18 19:02:57 —-D—- C:Program FilesSurfOffline Professional 2
2009-03-17 22:44:47 —-D—- C:Documents and SettingsАдминистраторApplication DataResource Tuner
2009-03-16 19:25:41 —-D—- C:Program FilesTony Hawk’s Underground 2
2009-03-16 18:26:22 —-D—- C:Program FilesFieryAds
2009-03-16 18:26:22 —-A—- C:WINDOWSsystem32borlndmm.dll
2009-03-15 19:43:16 —-D—- C:game
2009-03-15 19:41:02 —-D—- C:Universal_Extractor_1.6_Portable_Rus
2009-03-15 16:00:07 —-A—- C:WINDOWSWINCMD.INI
2009-03-14 19:39:54 —-A—- C:WINDOWSCOOLSYS.INI
2009-03-14 19:39:53 —-A—- C:WINDOWScoolkb99.ini
2009-03-14 19:39:53 —-A—- C:WINDOWSCOOL.INI
2009-03-14 19:37:23 —-D—- C:Documents and SettingsAll UsersApplication DataVSO
2009-03-13 22:27:51 —-D—- C:ProHackerIILite
2009-03-13 21:23:37 —-D—- C:ProHacker 2.0
2009-03-13 21:13:48 —-HDC—- C:WINDOWS$NtUninstallXPSEPSCLP$
2009-03-13 21:10:36 —-D—- C:Program FilesMSBuild
2009-03-13 21:10:30 —-D—- C:WINDOWSsystem32XPSViewer
2009-03-13 21:10:24 —-D—- C:WINDOWSsystem32en-us
2009-03-13 21:10:23 —-D—- C:Program FilesReference Assemblies
2009-03-13 21:09:47 —-N—- C:WINDOWSsystem32spmsg2.dll
2009-03-13 21:09:09 —-D—- C:WINDOWSSxsCaPendDel
2009-03-13 21:04:53 —-HDC—- C:WINDOWS$NtUninstallWIC$
2009-03-13 20:06:02 —-D—- C:Program FilesVMware
2009-03-13 17:31:00 —-D—- C:Program FilesCommand & Conquer — Tiberian Sun Firestorm
2009-03-12 23:58:56 —-D—- C:Documents and SettingsАдминистраторApplication DataAIMP
2009-03-12 23:58:50 —-D—- C:Program FilesAIMP2
2009-03-12 22:05:08 —-D—- C:Program FilesDecker
2009-03-12 20:47:18 —-D—- C:Program FilesSuper Mario Blue Twilight DX
2009-03-12 15:20:41 —-D—- C:Program FilesPassware
2009-03-11 18:26:14 —-D—- C:Documents and SettingsАдминистраторApplication DataPetShowCraze
2009-03-11 17:55:16 —-D—- C:Program FilesAlawar.ru
2009-03-09 23:14:57 —-D—- C:Documents and SettingsАдминистраторApplication DataPE Explorer
2009-03-09 23:13:54 —-D—- C:Program FilesPE Explorer
2009-03-09 20:01:30 —-D—- C:WINDOWSHEX
2009-03-09 19:41:17 —-A—- C:WINDOWSwinamp.ini
2009-03-09 19:41:09 —-D—- C:Program FilesWinamp
2009-03-09 13:52:43 —-D—- C:Program FilesCreat Studio
2009-03-08 21:12:27 —-D—- C:Documents and SettingsАдминистраторApplication DataAuslogics
2009-03-08 19:58:10 —-D—- C:Program FilesAuslogics
2009-03-08 18:36:04 —-D—- C:Program Files7-Zip
2009-03-07 14:56:05 —-D—- C:portable
2009-03-07 14:27:54 —-D—- C:Program FilesDCodDownloader
2009-03-06 17:39:57 —-A—- C:Mario Forever Portable.exe.txt
2009-03-05 21:45:40 —-D—- C:Program FilesMoleBoxPro
2009-03-04 18:48:35 —-SD—- C:WINDOWSDownloaded Program Files
2009-03-03 21:51:37 —-D—- C:firefox
2009-03-03 21:51:34 —-D—- C:nod32
2009-03-03 21:51:30 —-D—- C:kav6
2009-03-03 20:51:10 —-D—- C:reatogo
2009-03-03 00:01:46 —-D—- C:Documents and SettingsАдминистраторApplication DataWNR
2009-03-03 00:01:42 —-D—- C:Program FilesProxy Switcher Standard
2009-03-02 23:58:51 —-D—- C:Documents and SettingsАдминистраторApplication DataHide IP NG
2009-03-02 22:05:53 —-D—- C:Program FilesWinPcap
2009-03-02 22:05:28 —-D—- C:Program FilesLanGrabber10
2009-03-01 16:40:51 —-A—- C:WINDOWSsystem32BASSMOD.dll======List of files/folders modified in the last 1 months======
2009-03-28 20:32:31 —-RD—- C:Program Files
2009-03-28 20:32:20 —-D—- C:Documents and SettingsАдминистраторApplication DatauTorrent
2009-03-28 20:28:11 —-D—- C:WINDOWSsystem32drivers
2009-03-28 20:26:47 —-D—- C:Program FilesMinefield
2009-03-28 19:44:41 —-D—- C:WINDOWS
2009-03-28 01:20:36 —-D—- C:ollydbg.1.10.with.all.plugins.by.Drean
2009-03-28 00:22:10 —-D—- C:WINDOWSsystem32
2009-03-27 23:44:51 —-SHD—- C:WINDOWSInstaller
2009-03-27 23:44:51 —-SHD—- C:Config.Msi
2009-03-27 23:44:42 —-D—- C:STPServer
2009-03-27 23:28:45 —-D—- C:Documents and SettingsАдминистраторApplication DataThinstall
2009-03-27 21:49:51 —-HD—- C:WINDOWSinf
2009-03-27 21:49:50 —-D—- C:WINDOWSsystem32CatRoot2
2009-03-27 21:49:37 —-D—- C:Program FilesCommon Files
2009-03-27 18:09:41 —-D—- C:Fraps2
2009-03-27 17:58:40 —-D—- C:WINDOWSsystem
2009-03-27 17:14:35 —-HD—- C:Program FilesInstallShield Installation Information
2009-03-27 15:21:09 —-D—- C:Documents and Settings
2009-03-27 15:09:39 —-D—- C:avz4
2009-03-26 22:26:21 —-D—- C:Program FilesCrayon Physics Deluxe
2009-03-26 21:56:30 —-D—- C:crayon
2009-03-26 20:26:16 —-AD—- C:Documents and SettingsAll UsersApplication DataTEMP
2009-03-26 15:10:44 —-D—- C:Downloads
2009-03-26 14:47:03 —-D—- C:Documents and SettingsАдминистраторApplication DataWebMoney
2009-03-26 13:14:26 —-D—- C:Fraps
2009-03-24 20:20:58 —-D—- C:3danalyzer-v234
2009-03-23 21:06:44 —-D—- C:ArtMoney
2009-03-23 20:40:23 —-D—- C:Total Commander
2009-03-23 19:03:50 —-D—- C:WINDOWSsystem32DirectX
2009-03-20 19:15:29 —-A—- C:WINDOWSwin.ini
2009-03-20 18:40:34 —-D—- C:Xilisoft_HD_Video_Converter_5.1.17.1114_Portable
2009-03-20 18:40:06 —-D—- C:Program FilesMovie Maker
2009-03-20 18:39:02 —-D—- C:Program FilesKGB Archiver
2009-03-20 18:38:58 —-D—- C:Program FilesIDAutomation.com Code 39 Font
2009-03-20 18:38:49 —-D—- C:Program FilesDownload Master
2009-03-20 18:38:46 —-D—- C:Program FilesWindows Media Connect 2
2009-03-20 18:38:46 —-D—- C:Program FilesWebMoney Advisor
2009-03-20 18:38:45 —-D—- C:Program FilesRestorator 2007
2009-03-20 18:38:45 —-D—- C:Program FilesOpenVPN
2009-03-20 18:38:43 —-D—- C:Program FilesAGEIA Technologies
2009-03-20 18:38:00 —-D—- C:WINLITE
2009-03-20 01:10:00 —-D—- C:WINDOWSsecurity
2009-03-20 00:53:42 —-D—- C:WINDOWSsystem32Setup
2009-03-16 01:28:33 —-D—- C:Program FilesMediaCoder
2009-03-13 22:45:24 —-D—- C:WINDOWSMicrosoft.NET
2009-03-13 21:26:12 —-RSD—- C:WINDOWSassembly
2009-03-13 21:15:00 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-03-13 21:13:29 —-D—- C:WINDOWSsystem32ru-ru
2009-03-13 21:13:17 —-D—- C:WINDOWSsystem32mui
2009-03-13 21:11:58 —-D—- C:WINDOWSWinSxS
2009-03-13 21:10:34 —-RSD—- C:WINDOWSFonts
2009-03-13 21:09:52 —-D—- C:WINDOWSsystem32spool
2009-03-13 21:09:48 —-D—- C:WINDOWSsystem32dllcache
2009-03-13 00:17:51 —-D—- C:Program FilesNOD32view
2009-03-11 18:43:18 —-D—- C:Program FilesWinHex
2009-03-10 16:30:36 —-SD—- C:Documents and SettingsАдминистраторApplication DataMicrosoft
2009-03-09 21:28:17 —-D—- C:Program FilesESET
2009-03-09 21:25:55 —-D—- C:Documents and SettingsAll UsersApplication DataESET
2009-03-09 20:27:02 —-D—- C:HideToolz
2009-03-08 22:50:37 —-D—- C:WINDOWSsystem32ReinstallBackups
2009-03-08 22:24:46 —-D—- C:WINDOWSsystem32config
2009-03-08 21:20:12 —-D—- C:WINDOWSDebug
2009-03-08 19:35:17 —-D—- C:Program FilesWinRAR
2009-03-08 19:35:13 —-D—- C:Program FilesWinImage
2009-03-08 19:01:50 —-D—- C:Program FilesUnlocker
2009-03-07 15:01:09 —-D—- C:Program FilesDetectiveStory
2009-03-06 19:56:03 —-D—- C:Program FilesMediaHouse
2009-03-06 17:39:03 —-D—- C:Program FilesMario Forever
2009-03-05 22:11:42 —-D—- C:Program FilesAvaLink DC++
2009-03-03 20:12:19 —-D—- C:dos игры
2009-03-01 13:29:08 —-A—- C:WINDOWSErrRegDoc.txt======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2009-02-06 93336]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-15 40704]
R1 PQNTDrv;PQNTDrv; C:WINDOWSsystem32driversPQNTDrv.sys [2004-05-05 4228]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-02-06 113448]
R2 Hardlock;Hardlock; ??C:WINDOWSsystem32drivershardlock.sys []
R2 Haspnt;Haspnt; ??C:WINDOWSsystem32driversHaspnt.sys []
R2 hl_mull;hl_mull; ??C:WINDOWSSystem32Drivershl_mull.sys []
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-07-08 62848]
R2 tifsfilter;Acronis True Image FS Filter; C:WINDOWSsystem32DRIVERStifsfilt.sys [2009-01-15 44704]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2006-05-03 1540608]
R3 cmuda;C-Media WDM Audio Interface; C:WINDOWSsystem32driverscmuda.sys [2004-02-20 815296]
R3 ms_mpu401;Драйвер UART Microsoft MPU-401 MIDI; C:WINDOWSsystem32driversmsmpu401.sys [2001-08-17 2944]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSsystem32DRIVERSRTL8139.SYS [2008-04-13 20992]
R3 tap0801;TAP-Win32 Adapter V8; C:WINDOWSsystem32DRIVERStap0801.sys [2006-04-12 23552]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2008-04-15 20608]
R4 ps6ajtsb;Stalker (Pro) Synchronization Driver (ps6ajtsb); C:WINDOWSsystem32driversps6ajtsb.sys []
S3 CrystalSysInfo;CrystalSysInfo; ??C:Program FilesMediaCoderSysInfo.sys []
S3 nm;Драйвер сетевого монитора; C:WINDOWSsystem32DRIVERSNMnt.sys [2008-04-15 40320]
S3 NPF;NetGroup Packet Filter Driver; C:WINDOWSsystem32driversnpf.sys [2006-10-17 35072]
S3 PsSdk41;PsSdk41; ??C:WINDOWSsystem32Driverspssdk41.sys []
S3 RivaTuner32;RivaTuner32; ??C:Program FilesRivaTuner v2.11RivaTuner32.sys []
S3 rvtracer;rvtracer; C:WINDOWSsystem32driversrvtracer.sys []
S3 sptd;sptd; C:WINDOWSSystem32Driverssptd.sys [2009-03-16 717296]
S3 Syser;Syser; C:WINDOWSsystem32driversSyser.sys []
S3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2003-01-23 19216]
S3 WBHWDOCT;Winbond GPIO Driver1; C:WINDOWSSystem32driversWBHWDOCT.sys []======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AcrSch2Svc;Acronis Scheduler2 Service; C:Program FilesCommon FilesAcronisSchedule2schedul2.exe [2008-11-04 554264]
R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2006-05-03 413696]
R2 Bonjour Service;##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##; C:Program FilesBonjourmDNSResponder.exe [2006-02-28 229376]
R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-02-06 727720]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian — DefaultInstance; C:Program FilesFirebirdFirebird_2_0binfbguard.exe [2007-09-03 81920]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe [2001-02-23 270336]
R2 StarWindServiceAE;StarWind AE Service; C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe [2007-05-28 275968]
R3 FirebirdServerDefaultInstance;Firebird Server — DefaultInstance; C:Program FilesFirebirdFirebird_2_0binfbserver.exe [2007-09-03 2002944]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2006-05-03 520192]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-02-06 20680]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe [2009-01-20 654848]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:WINDOWSMicrosoft.NetFrameworkv3.0WPFPresentationFontCache.exe [2007-10-09 36864]
S3 idsvc;Windows CardSpace; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2007-10-11 864256]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:Program FilesWinPcaprpcapd.exe [2006-10-17 86016]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:Program FilesWindows Media PlayerWMPNetwk.exe [2006-11-02 914944]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2007-10-11 122880]
EOF
P.S. Спасибо.
P.P.S. Извините, не посмотрел на даты тех топиков, не знал.Доброго времени суток будьте добры выполните следующие правила:
1. Скачайте AVZ
2. Распакуйте её
3. Запустите AVZ- Файл=>Выполнить скрипт=> и вставить ниже написанный скрипт:begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('%programfiles%bonjourmdnsresponder.exe');
DeleteFile('%programfiles%bonjourmdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Ваш ПК перезагрузится
После чего выполните следующий скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteAVUpdate ;
BC_QrFile('cadkasdeinst01e.exe');
BC_DeleteFile('cadkasdeinst01e.exe');
BC_QrSvc('cadkasdeinst01e.exe');
BC_DeleteSvc('cadkasdeinst01e.exe');
BC_QrFile('lamerxp.exe');
BC_DeleteFile('1.bat');
BC_DeleteFile('lamerxp.exe');
BC_QrSvc('lamerxp.exe');
BC_DeleteSvc('lamerxp.exe');
QuarantineFile('lamerxp.exe ',' ');
TerminateProcessByName('lamerxp.exe');
DeleteFile('lamerxp.exe');
DeleteFile('1.bat')
QuarantineFile('C:WINDOWScadkasdeinst01e.exe ',' ');
TerminateProcessByName('cadkasdeinst01e.exe');
DeleteFile('cadkasdeinst01e.exe');
AutoFixSPI;
ClearHostsFile;
DelCLSID('lamerxp.exe');
DeleteService('lamerxp.exe', true);
DelWinlogonNotifyByFileName('lamerxp.exe');
DelCLSID('cadkasdeinst01e.exe');
DeleteService('cadkasdeinst01e.exe', true);
DelWinlogonNotifyByFileName('cadkasdeinst01e.exe');
BC_Activate;
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.Ваш ПК перезагрузится
Вот эти файлы если вам не знакомы, про сканируйте их на На Вирус Тотале ссылку на Логи сканав выложите здесь!
C:WinsockFix.sfx.exe
C:Python25Карантин котрый находится в папке AVZ=>Qurantine
Просьба прислать его на newvirus@kaspersky.com
В теле письма указать пароль: virusПосле получения ответа просьба написать его в этой теме
Здравствуйте.
Насчет первого скрипта Bonjour — Это программа photoshop’а
Насчет второго скрипта —
cadkasdeinst01e.exe — это утилита для чтения и редактирования PDF
1.bat — я в нем прописывал тупо cmd, чтоб долго не мучиться со сменой директорий в консоли
lamerxp.exe — я баловался 🙂 (удалил)То что вы порекомендовали просканировать —
WinsockFix.sfx.exe — программа для исправления интернета после его сбоя вирусами(просто в архиве)
Python25 — нужна для установленной программыНо всёравно выполню скрипт и просканирую компьютер
Выполните Этот скрипт — он создаст карантин и запакует его в архив, отправить на newvirus@kaspersky.com
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Логи повторить!
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
ComboFix 09-03-28.06 — Администратор 2009-03-29 15:16:58.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.511.234 [GMT 4:00]
Running from: c:documents and settingsАдминистраторМои документыDownloadsComboFix.exe
Command switches used :: c:documents and settingsАдминистраторМои документыDownloadsWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32hlvdd.dll
c:windowssystem32oledb32.dll.
((((((((((((((((((((((((( Files Created from 2009-02-28 to 2009-03-29 )))))))))))))))))))))))))))))))
.2009-03-29 14:50 . 2009-03-29 14:53 d
C:Новая папка
2009-03-29 03:09 . 2009-03-29 03:09 d
C:FoxitEdit
2009-03-29 03:08 . 2009-03-29 03:08 d
c:program filesFoxit Software
2009-03-28 23:50 . 2009-03-29 01:16 d
C:My Speech Records
2009-03-28 23:39 . 2009-03-28 23:39 d
c:windowsspeech
2009-03-28 23:39 . 2009-03-29 01:22 d
c:windowslhsp
2009-03-28 23:39 . 2009-03-29 01:20 d
c:program filesSpeaking Notepad
2009-03-28 23:39 . 2007-03-05 12:51 360,580 —a
c:windowseSellerateEngine.dll
2009-03-28 23:39 . 2007-02-23 17:57 94,208 —a
c:windowseSellerateControl365.dll
2009-03-28 21:32 . 2009-03-28 21:32 d
C:rsit
2009-03-28 21:32 . 2009-03-28 21:32 d
c:program filestrend micro
2009-03-28 21:26 . 2009-03-28 21:28 d
c:program filesMalwarebytes’ Anti-Malware
2009-03-28 21:26 . 2009-03-28 21:26 d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-03-28 21:26 . 2009-03-28 21:26 d
c:documents and settingsАдминистраторApplication DataMalwarebytes
2009-03-28 21:26 . 2009-03-26 17:49 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-03-28 21:26 . 2009-03-26 17:49 15,504 —a
c:windowssystem32driversmbam.sys
2009-03-28 02:08 . 2009-03-28 02:08 1,553,756 —a
C:FoxitEdit.rar
2009-03-28 02:04 . 2009-03-29 03:32 d
c:program filesPDF Editor 2
2009-03-28 00:44 . 2009-03-28 00:44 d
c:program filesJlgSolera
2009-03-27 22:50 . 2009-03-27 22:50 d
c:documents and settingsAll UsersApplication Data16 Software
2009-03-27 22:49 . 2009-03-27 22:49 d
c:program filesCommon FilesGTK
2009-03-27 22:49 . 2009-03-27 22:49 d
c:program files16 Software
2009-03-27 22:49 . 2009-03-27 22:49 d
c:documents and settingsАдминистраторApplication Data16 Software
2009-03-27 22:37 . 2009-03-27 22:37 d
c:program filesENV
2009-03-27 21:34 . 2009-03-27 21:34 d
c:program filesFirebird
2009-03-27 21:34 . 2007-09-03 18:13 393,216 —a
c:windowssystem32GDS32.DLL
2009-03-27 21:34 . 2007-09-03 18:13 393,216 —a
c:windowssystem32FBCLIENT.DLL
2009-03-27 21:20 . 2009-03-27 21:21 d
c:program filesAddNews
2009-03-27 20:23 . 2009-03-28 00:44 d
C:WebServers
2009-03-27 18:41 . 2009-03-27 18:41 d
c:program filesDLE Tool
2009-03-27 18:05 . 2009-03-27 18:05 d
c:program filesCCleaner
2009-03-27 17:38 . 2009-03-27 17:38 8,405,015 —a
c:windowshlktmp
2009-03-27 17:28 . 2009-03-27 17:28 d
c:program filesRavlyk
2009-03-27 14:40 . 2009-03-27 14:41 d
C:Fate
2009-03-27 13:33 . 2009-03-27 13:33 17,298 —a
c:windowssystem32psubst.rar
2009-03-26 21:19 . 2009-03-26 21:19 d
c:program filesFileZilla FTP Client
2009-03-26 21:19 . 2009-03-26 22:02 d
c:documents and settingsАдминистраторApplication DataFileZilla
2009-03-26 21:17 . 2009-03-26 21:17 d
C:FileZilla
2009-03-25 22:55 . 2009-03-29 00:40 166 —a
c:windowsusdthank.ini
2009-03-25 22:55 . 2009-03-25 22:55 31 —a
c:windowsidc.ini
2009-03-25 22:39 . 2009-03-27 18:14 d
c:program filesLikeRusXP 5.4
2009-03-25 21:15 . 2009-03-26 16:14 d
C:Головоломки
2009-03-25 20:49 . 2009-03-25 20:49 8,192 —a
c:windowsREGLOCS.OLD
2009-03-25 20:35 . 2009-03-29 15:08 d
C:USD
2009-03-25 15:22 . 2009-03-27 18:16 d
c:program filesSmsTool
2009-03-24 22:53 . 2009-03-27 22:28 d
C:Algodoo Phun Edition
2009-03-24 22:03 . 2009-03-24 22:03 d
c:documents and settingsАдминистраторApplication DataDatarescue
2009-03-24 21:51 . 2009-03-24 21:51 d
c:program filesJufsoft
2009-03-24 21:35 . 2009-03-24 21:36 d
C:Охота на Рыбалку 2
2009-03-24 21:02 . 2009-03-24 21:02 d
C:PostNews30
2009-03-24 17:44 . 2009-03-26 13:21 608 —a
c:windowssystem32driversSyser.cfg
2009-03-24 17:44 . 2009-03-26 13:21 184 —a
c:windowssystem32driversSyserColor.cfg
2009-03-24 13:51 . 2009-03-24 13:51 1,671,327 —a
C:WinsockFix.sfx.idb
2009-03-24 13:49 . 2009-03-24 13:49 729,206 —a
C:WinsockFix.sfx.exe
2009-03-24 13:48 . 2009-03-24 13:48 d
c:documents and settingsAdministratorApplication DataDatarescue
2009-03-24 13:28 . 2009-03-24 13:28 d
C:Python25
2009-03-24 12:58 . 2009-03-24 12:58 53,760 —ahs—- C:Thumbs.db
2009-03-23 21:00 . 2009-03-23 21:00 52,736 —a
c:windowsipuninst.exe
2009-03-23 20:50 . 2009-03-23 20:50 d
C:Intrplay
2009-03-23 19:46 . 2009-03-23 19:46 d
c:program filesGSC World Publishing
2009-03-23 01:39 . 2009-03-23 01:39 d
c:documents and settingsАдминистраторApplication DataInstallShield
2009-03-20 20:04 . 2009-03-20 20:04 19,251,064 —a
C:123.camrec
2009-03-20 10:11 . 2009-03-20 10:11 d
c:documents and settingsАдминистраторApplication DataASCON
2009-03-20 02:14 . 2007-06-21 21:53 67,712 —a
c:windowssystem32drivershl_mull.sys
2009-03-20 02:09 . 2009-03-20 02:09 d—h
c:windowssystem32GroupPolicy
2009-03-20 01:54 . 2006-11-22 11:01 693,760 —a
c:windowssystem32drivershardlock.sys
2009-03-20 01:54 . 2009-03-20 01:54 47,616 —a
c:windowssystem32driversHaspnt.sys
2009-03-20 01:54 . 2009-03-20 01:54 6,656 —a
c:windowssystem32haspvdd.dll
2009-03-20 01:54 . 2009-03-20 01:54 5,752 —a
c:windowssystem32config.hsp
2009-03-20 01:54 . 2009-03-20 01:54 383 —a
c:windowssystem32haspdos.sys
2009-03-20 01:52 . 2009-03-20 02:03 d
c:program filesCommon FilesASCON Shared
2009-03-20 01:49 . 2009-03-20 01:49 d
c:program filesASCON
2009-03-20 01:38 . 2009-03-20 01:38 d
c:documents and settingsАдминистраторApplication DataYandex
2009-03-19 22:25 . 2009-03-19 22:25 d
c:documents and settingsАдминистратор.borland
2009-03-19 22:25 . 2009-03-19 22:25 d
c:documents and settingsАдминистратор.borland
2009-03-19 22:25 . 2009-03-19 22:25 10,128 —a
c:windowswinsight.ini
2009-03-19 22:19 . 2009-03-19 22:22 d
c:program filesCommon FilesBorland Shared
2009-03-19 22:19 . 2009-03-19 22:19 d
c:program filesBorland
2009-03-19 22:15 . 2009-03-19 22:15 d
C:Borland Delphi 7 Studio Enterprise
2009-03-18 22:58 . 2009-03-20 20:12 60 —a
c:windowsBlueFace.INI
2009-03-18 20:03 . 2009-03-27 18:16 d
c:documents and settingsAll UsersApplication DataBimesoft
2009-03-18 20:02 . 2009-03-27 18:16 d
c:program filesSurfOffline Professional 2
2009-03-18 00:03 . 2009-03-18 20:14 32 —a
c:windowssystem32resmodes.dat
2009-03-17 23:44 . 2009-03-17 23:45 d
c:documents and settingsАдминистраторApplication DataResource Tuner
2009-03-16 20:25 . 2009-03-16 20:36 d
c:program filesTony Hawk’s Underground 2
2009-03-16 19:26 . 2009-03-28 00:08 d
c:program filesFieryAds
2009-03-16 19:26 . 2009-03-16 19:26 30,208 —a
c:windowssystem32borlndmm.dll
2009-03-16 19:26 . 2009-03-27 17:11 910 —a
c:documents and settingsАдминистраторApplication Datafieryads.dat
2009-03-15 20:43 . 2009-03-15 21:35 d
C:game
2009-03-15 20:41 . 2009-03-16 23:00 d
C:Universal_Extractor_1.6_Portable_Rus
2009-03-15 17:00 . 2009-03-15 17:00 239 —a
c:windowsWINCMD.INI
2009-03-14 20:39 . 2009-03-14 20:43 7,289 —a
c:windowscoolkb99.ini
2009-03-14 20:39 . 2009-03-14 20:43 3,488 —a
c:windowsCOOL.INI
2009-03-14 20:39 . 2009-03-14 20:39 45 —a
c:windowsCOOLSYS.INI
2009-03-14 20:37 . 2009-03-14 21:12 d
c:documents and settingsAll UsersApplication DataVSO
2009-03-13 23:27 . 2009-03-27 18:15 d
C:ProHackerIILite
2009-03-13 22:23 . 2009-03-27 18:15 d
C:ProHacker 2.0
2009-03-13 22:10 . 2009-03-13 22:13 d
c:windowssystem32XPSViewer
2009-03-13 22:10 . 2009-03-13 22:10 d
c:program filesReference Assemblies
2009-03-13 22:10 . 2009-03-13 22:10 d
c:program filesMSBuild
2009-03-13 22:09 . 2009-03-14 20:21 d
c:windowsSxsCaPendDel
2009-03-13 22:09 . 2006-06-29 14:07 14,048
c:windowssystem32spmsg2.dll
2009-03-13 21:06 . 2009-03-13 21:06 d
c:program filesVMware
2009-03-13 18:31 . 2009-03-27 18:13 d
c:program filesCommand & Conquer — Tiberian Sun Firestorm
2009-03-13 00:58 . 2009-03-13 00:58 d
c:program filesAIMP2
2009-03-13 00:58 . 2009-03-29 01:32 d
c:documents and settingsАдминистраторApplication DataAIMP
2009-03-12 23:05 . 2009-03-12 23:05 d
c:program filesDecker
2009-03-12 21:47 . 2009-03-27 18:17 d
c:program filesSuper Mario Blue Twilight DX
2009-03-12 16:20 . 2009-03-27 18:13 d
c:program filesPassware
2009-03-11 19:26 . 2009-03-11 19:49 d
c:documents and settingsАдминистраторApplication DataPetShowCraze
2009-03-11 18:55 . 2009-03-11 18:56 d
c:program filesAlawar.ru
2009-03-11 18:47 . 2009-03-11 18:47 8,146 —a
C:Alcohol.rar.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 11:08
d
w c:program filesMinefield
2009-03-29 10:48
d
w c:program filesBonjour
2009-03-28 17:51
d
w c:documents and settingsАдминистраторApplication DatauTorrent
2009-03-27 20:28
d
w c:documents and settingsАдминистраторApplication DataThinstall
2009-03-27 14:14
d—h—w c:program filesInstallShield Installation Information
2009-03-26 19:26
d
w c:program filesCrayon Physics Deluxe
2009-03-26 17:26
d—a-w c:documents and settingsAll UsersApplication DataTEMP
2009-03-26 11:47
d
w c:documents and settingsАдминистраторApplication DataWebMoney
2009-03-25 17:00 20,872 —-a-w c:documents and settingsАдминистраторApplication DataGDIPFONTCACHEV1.DAT
2009-03-20 15:39
d
w c:program filesKGB Archiver
2009-03-20 15:38
d
w c:program filesWindows Media Connect 2
2009-03-20 15:38
d
w c:program filesWebMoney Advisor
2009-03-20 15:38
d
w c:program filesRestorator 2007
2009-03-20 15:38
d
w c:program filesOpenVPN
2009-03-20 15:38
d
w c:program filesIDAutomation.com Code 39 Font
2009-03-20 15:38
d
w c:program filesDownload Master
2009-03-20 15:38
d
w c:program filesAGEIA Technologies
2009-03-16 14:58 717,296 —-a-w c:windowssystem32driverssptd.sys
2009-03-15 22:28
d
w c:program filesMediaCoder
2009-03-12 21:17
d
w c:program filesNOD32view
2009-03-11 15:43
d
w c:program filesWinHex
2009-03-09 18:28
d
w c:program filesESET
2009-03-09 18:25
d
w c:documents and settingsAll UsersApplication DataESET
2009-03-08 16:35
d
w c:program filesWinImage
2009-03-08 16:01
d
w c:program filesUnlocker
2009-03-07 12:01
d
w c:program filesDetectiveStory
2009-03-06 16:56
d
w c:program filesMediaHouse
2009-03-06 14:39
d
w c:program filesMario Forever
2009-03-05 19:11
d
w c:program filesAvaLink DC++
2009-02-27 16:51 1,207,871 —-a-w C:NOD32view3i08i4.exe
2009-02-27 16:40
d
w c:program filespLan2
2009-02-17 17:55
d
w c:program filesCommon FilesWise Installation Wizard
2009-02-14 19:35 53,542 —-a-w C:HideToolz.zip
2009-02-14 12:26 15,872 —-a-w c:windowssystem32wconapi.dll
2009-02-14 12:26 130,048 —-a-w c:windowssystem32chdip.dll
2009-02-13 19:16
d
w c:program filesTeleport Pro
2009-02-08 14:54
d
w c:documents and settingsАдминистраторApplication DataReactOS
2009-02-06 15:58 2,111 —-a-w c:program filesadrms_log.txt
2009-02-06 14:43
d
w c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-02-06 11:24 93,336 —-a-w c:windowssystem32driversepfwtdir.sys
2009-02-06 11:23 106,208 —-a-w c:windowssystem32driversehdrv.sys
2009-02-06 11:19 113,448 —-a-w c:windowssystem32driverseamon.sys
2009-02-05 17:53
d
w c:documents and settingsАдминистраторApplication DataATI
2009-02-05 17:32
d
w c:program filesATI Technologies
2009-02-05 16:44
d
w c:documents and settingsАдминистраторApplication DataImgBurn
2009-02-04 17:17
d
w c:documents and settingsAll UsersApplication DataTrymedia
2009-02-03 13:45
d
w c:program filesC-Media 3D Audio2
2009-02-03 13:43 8 —-a-w C:DFIMB.DAT
2009-02-02 17:59
d
w c:program filesC-Media 3D Audio
2009-02-02 15:36 1,445,888 —-a-w C:WinsockFix.exe
2009-02-01 16:27
d
w c:documents and settingsАдминистраторApplication DataOpenCandy
2009-01-22 15:09 3,072 —-a-w c:windowssystem32WintSys.dll
2009-01-15 18:41 2,068,760 —-a-w c:windowssystem32AutoPartNt.exe
2009-01-15 14:16 37,888 —-a-w c:windowssystem32setupnt.dll
2009-01-14 21:11 655,628 —-a-w C:ersave.dat
2008-08-19 18:33 998,400 —-a-w c:windowsinfsyssbck.dll
2008-06-20 02:42 46,387 —-a-w c:program filessource.txt
2008-06-19 20:34 2,969 —-a-w c:program filesreadme.txt
2008-06-17 02:32 349 —-a-w c:program fileslicense.txt
2007-08-20 12:43 51
w c:program filesALAWAR.URL
2006-01-26 06:41 30,214
w c:program filesalawar.ico
2004-02-04 23:04 1,062,333 —-a-w c:program filesGTA Mod Installer.exe
2004-01-27 13:13 348,160 —-a-w c:program filesmsvcr71.dll
2002-01-05 04:37 344,064 —-a-w c:program filesmsvcr70.dll
.
Sigcheck
2008-05-29 16:00 14336 27c6d03bcdb8cfeb96b716f3d8be3e18 c:windowssystem32svchost.exe2008-08-19 22:29 579072 b431d43105a8e73d5d68565340dbbb97 c:windowssystem32user32.dll
2008-08-19 22:30 952832 9f4307837857765bf291d088853cc6d2 c:windowssystem32wininet.dll
2008-08-19 22:34 361600 df70435f3d17c40d5cb15e6dc918342e c:windowssystem32driverstcpip.sys
2008-08-19 22:36 2058112 eb43f6a4a0522b1b7c80f2d279d74c25 c:windowssystem32ntkrnlpa.exe
2008-08-19 22:26 2181248 d6cfad5ed3874dcb451fbda4ee5a9c63 c:windowssystem32ntoskrnl.exe
2008-05-29 16:00 1033728 12896823fb95bfb3dc9b46bcaedc9923 c:windowsexplorer.exe
2008-08-19 22:28 30208 5ab4617045c7a0df784ba751fcbffa7c c:windowssystem32ctfmon.exe
2008-08-19 22:30 80584 96025a586b4ab7a5cfd14f76c3fc49a6 c:windowssystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
2008-09-05 16:42 2409472 —a
c:program filesWebMoney Advisorwmadvisor.dll[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-09-05 2409472][HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223][HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-09-05 2409472][HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]
«Fraps»=»c:fraps2FRAPS.EXE» [2006-11-04 338432]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2008-08-19 30208]
«AlcoholAutomount»=»c:program filesAlcohol SoftAlcohol 120axcmd.exe» [2009-02-24 203928][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«UnlockerAssistant»=»c:program filesUnlockerUnlockerAssistant.exe» [2008-05-02 15872]
«ATICCC»=»c:program filesATI TechnologiesATI.ACEcli.exe» [2006-01-02 45056]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2009-02-06 2021400]
«Cmaudio»=»cmicnfg.cpl» [2004-01-07 c:windowsCMICNFG.CPL][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableStatusMessages»= 1 (0x1)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«NoSMMyPictures»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)
«NoCommonGroups»= 1 (0x1)
«GreyMSIAds»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«NoSMMyPictures»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)
«StartMenuLogoff»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronis Scheduler2 Service]
—a
2008-11-04 22:14 165144 c:program filesCommon FilesAcronisSchedule2schedhlp.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronisTimounterMonitor]
—a
2008-11-04 22:20 962136 c:program filesAcronisTrueImageHomeTimounterMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregTrueImageMonitor.exe]
—a
2008-11-04 21:54 4382376 c:program filesAcronisTrueImageHomeTrueImageMonitor.exe[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\EKo(copy please)\Downloads\Архивы\crack\wasm.ru\utorrent.exe»=R0 snapman380;Acronis Snapshots Manager (Build 380);c:windowssystem32driverssnman380.sys [2009-01-15 134272]
R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:windowssystem32driverstdrpm147.sys [2009-01-15 971232]
R1 ehdrv;ehdrv;c:windowssystem32driversehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2009-02-06 93336]
R2 ekrn;ESET Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2009-02-06 727720]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian — DefaultInstance;c:program filesFirebirdFirebird_2_0binfbguard.exe -s —> c:program filesFirebirdFirebird_2_0binfbguard.exe -s [?]
R2 hl_mull;hl_mull;c:windowssystem32drivershl_mull.sys [2009-03-20 67712]
R3 FirebirdServerDefaultInstance;Firebird Server — DefaultInstance;c:program filesFirebirdFirebird_2_0binfbserver.exe -s —> c:program filesFirebirdFirebird_2_0binfbserver.exe -s [?]
R3 tap0801;TAP-Win32 Adapter V8;c:windowssystem32driverstap0801.sys [2009-01-17 23552]
S0 SDbgMsg;SDbgMsg; [x]
S0 SyserBoot;SyserBoot; [x]
S0 SyserLanguage;SyserLanguage; [x]
S1 vdi3ntc5;AVZ-BC Kernel Driver;??c:windowssystem32Driversvdi3ntc5.sys —> c:windowssystem32Driversvdi3ntc5.sys [?]
S2 rkurksla;Update Image;c:windowssystem32svchost.exe -k netsvcs [2009-01-25 14336]
S3 CrystalSysInfo;CrystalSysInfo;c:program filesMediaCoderSysInfo.sys [2007-09-25 15152]
S3 NPF;NetGroup Packet Filter Driver;c:windowssystem32driversnpf.sys [2006-10-17 35072]
S3 PsSdk41;PsSdk41;c:windowssystem32driverspssdk41.sys [2009-01-19 36928]
S3 rvtracer;rvtracer; [x]
S3 Syser;Syser; [x]HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost — NetSvcs
rkurksla[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2Z]
ShellAutoRuncommand — z:.Start.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{07511351-e804-11dd-9fb0-000129ff3f73}]
ShellAutoRuncommand — E:autorun.exe
Shellreaditcommand — notepad readme.doc[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e79fffd9-1338-11de-a065-000129ff3f73}]
ShellAutoRuncommand — e:kompas-3d_v9setup.exe
.
— — — — ORPHANS REMOVED — — — —Toolbar-ITBar7Position — (no file)
HKLM-Run-exlorer.exe — c:windowssystem32exlorer.exe.
Supplementary Scan
.
uStart Page = hxxp://www.apeha.ru
uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1Office10EXCEL.EXE/3000
IE: Add to &Teleport — c:program filesTeleport Proteleport.htm
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
IE: {{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — c:program filesWebMoney Advisorwmadvisor.dll
FF — ProfilePath — c:documents and settingsАдминистраторApplication DataMozillaFirefoxProfilessxpr22j0.default—- FIREFOX POLICIES —-
c:program filesMinefieldgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMinefieldgreprefsall.js — pref(«media.enforce_same_site_origin», false);
c:program filesMinefieldgreprefsall.js — pref(«media.ogg.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«media.wave.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«media.autoplay.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«browser.urlbar.autocomplete.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«capability.policy.mailnews.*.wholeText», «noAccess»);
c:program filesMinefieldgreprefsall.js — pref(«network.http.prompt-temp-redirect», true);
c:program filesMinefieldgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMinefieldgreprefsall.js — pref(«network.tcp.sendbuffer», 131072);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 60);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr», «»);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-cjkt», «»);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-f-CN», «»);
c:program filesMinefielddefaultspreffirefox.js — pref(«extensions.blocklist.level», 2);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.urlbar.restrict.typed», «~»);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.urlbar.default.behavior», 0);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.ssl_override_behavior», 2);
c:program filesMinefielddefaultspreffirefox.js — pref(«security.alternate_certificate_error_page», «certerror»);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.privatebrowsing.autostart», false);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.privatebrowsing.dont_prompt_on_enter», false);
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 15:18:06
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_USERSS-1-5-21-796845957-879983540-1801674531-500_ClassesCLSID{CF614386-2529-7040-AEC6-82A7191EF47E}InprocServer32]
@Denied: (A 4) (Everyone)[HKEY_USERSS-1-5-21-796845957-879983540-1801674531-500_ClassesCLSID{CF614386-2529-7040-AEC6-82A7191EF47E}InprocServer32Misc]
«95430919»=hex:ee,e9,75,ae,43,31,e9,ce,bf,82,34,a4,48,0c,3e,0b,cd,d1,73,09,26,
ee,0f,da,35,61,d2,30,10,af,ec,e0,47,21,cc,a6,cc,f0,71,6f,05,81,f8,a7,db,14,
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(904)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll— — — — — — — > ‘lsass.exe'(960)
c:windowssystem32SETUPAPI.dll
.
Completion time: 2009-03-29 15:19:42
ComboFix-quarantined-files.txt 2009-03-29 11:19:31Pre-Run: 19 377 795 072 байт свободно
Post-Run: 19,682,291,712 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINLITE=»Microsoft Windows XP LiteVersion» /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect
c:downlo~17ff5~1kolibr~1mtldr=»KolibriOS»384
Вы использовали Syser debugger ?
Часть информации о драйверах этой программы осталась, нужно подчистить.Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
SDbgMsg
SyserBoot
SyserLanguage
rkurksla
rvtracer
Syser
NetSvc::
rkurksla
reglockdel::
[HKEY_USERSS-1-5-21-796845957-879983540-1801674531-500_ClassesCLSID{CF614386-2529-7040-AEC6-82A7191EF47E}InprocServer32Misc]
[HKEY_USERSS-1-5-21-796845957-879983540-1801674531-500_ClassesCLSID{CF614386-2529-7040-AEC6-82A7191EF47E}InprocServer32]Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.ComboFix 09-03-28.06 — Администратор 2009-03-29 17:47:10.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.511.209 [GMT 4:00]
Running from: c:documents and settingsАдминистраторМои документыDownloadsComboFix.exe
Command switches used :: c:documents and settingsАдминистраторРабочий столCFScript.txt
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
..
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_RKURKSLA
Legacy_RVTRACER
Service_rkurksla
Service_rvtracer
Service_SDbgMsg
Service_Syser
Service_SyserBoot
Service_SyserLanguage((((((((((((((((((((((((( Files Created from 2009-02-28 to 2009-03-29 )))))))))))))))))))))))))))))))
.2009-03-29 17:41 . 2009-03-29 17:41 d
c:windowssystem32xircom
2009-03-29 17:41 . 2009-03-29 17:41 d
c:windowssystem32restore
2009-03-29 17:41 . 2009-03-29 17:41 d
c:windowssystem32oobe
2009-03-29 17:41 . 2009-03-29 17:41 d
c:windowssrchasst
2009-03-29 17:41 . 2009-03-29 17:41 d
c:program filesmicrosoft frontpage
2009-03-29 14:50 . 2009-03-29 14:53 d
C:Новая папка
2009-03-29 03:09 . 2009-03-29 03:09 d
C:FoxitEdit
2009-03-29 03:08 . 2009-03-29 03:08 d
c:program filesFoxit Software
2009-03-28 23:50 . 2009-03-29 01:16 d
C:My Speech Records
2009-03-28 23:39 . 2009-03-28 23:39 d
c:windowsspeech
2009-03-28 23:39 . 2009-03-29 01:22 d
c:windowslhsp
2009-03-28 23:39 . 2009-03-29 01:20 d
c:program filesSpeaking Notepad
2009-03-28 23:39 . 2007-03-05 12:51 360,580 —a
c:windowseSellerateEngine.dll
2009-03-28 23:39 . 2007-02-23 17:57 94,208 —a
c:windowseSellerateControl365.dll
2009-03-28 21:32 . 2009-03-28 21:32 d
C:rsit
2009-03-28 21:32 . 2009-03-28 21:32 d
c:program filestrend micro
2009-03-28 21:26 . 2009-03-28 21:28 d
c:program filesMalwarebytes’ Anti-Malware
2009-03-28 21:26 . 2009-03-28 21:26 d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-03-28 21:26 . 2009-03-28 21:26 d
c:documents and settingsАдминистраторApplication DataMalwarebytes
2009-03-28 21:26 . 2009-03-26 17:49 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-03-28 21:26 . 2009-03-26 17:49 15,504 —a
c:windowssystem32driversmbam.sys
2009-03-28 02:08 . 2009-03-28 02:08 1,553,756 —a
C:FoxitEdit.rar
2009-03-28 02:04 . 2009-03-29 03:32 d
c:program filesPDF Editor 2
2009-03-28 00:44 . 2009-03-28 00:44 d
c:program filesJlgSolera
2009-03-27 22:50 . 2009-03-27 22:50 d
c:documents and settingsAll UsersApplication Data16 Software
2009-03-27 22:49 . 2009-03-27 22:49 d
c:program filesCommon FilesGTK
2009-03-27 22:49 . 2009-03-27 22:49 d
c:program files16 Software
2009-03-27 22:49 . 2009-03-27 22:49 d
c:documents and settingsАдминистраторApplication Data16 Software
2009-03-27 22:37 . 2009-03-27 22:37 d
c:program filesENV
2009-03-27 21:34 . 2009-03-27 21:34 d
c:program filesFirebird
2009-03-27 21:34 . 2007-09-03 18:13 393,216 —a
c:windowssystem32GDS32.DLL
2009-03-27 21:34 . 2007-09-03 18:13 393,216 —a
c:windowssystem32FBCLIENT.DLL
2009-03-27 21:20 . 2009-03-27 21:21 d
c:program filesAddNews
2009-03-27 20:23 . 2009-03-28 00:44 d
C:WebServers
2009-03-27 18:41 . 2009-03-27 18:41 d
c:program filesDLE Tool
2009-03-27 18:05 . 2009-03-27 18:05 d
c:program filesCCleaner
2009-03-27 17:38 . 2009-03-27 17:38 8,405,015 —a
c:windowshlktmp
2009-03-27 17:28 . 2009-03-27 17:28 d
c:program filesRavlyk
2009-03-27 14:40 . 2009-03-27 14:41 d
C:Fate
2009-03-27 13:33 . 2009-03-27 13:33 17,298 —a
c:windowssystem32psubst.rar
2009-03-27 13:00 . 2008-08-19 11:17 74,240 —a
C:mscms.dll
2009-03-26 21:19 . 2009-03-26 21:19 d
c:program filesFileZilla FTP Client
2009-03-26 21:19 . 2009-03-26 22:02 d
c:documents and settingsАдминистраторApplication DataFileZilla
2009-03-26 21:17 . 2009-03-26 21:17 d
C:FileZilla
2009-03-25 22:55 . 2009-03-29 00:40 166 —a
c:windowsusdthank.ini
2009-03-25 22:55 . 2009-03-25 22:55 31 —a
c:windowsidc.ini
2009-03-25 22:39 . 2009-03-27 18:14 d
c:program filesLikeRusXP 5.4
2009-03-25 21:15 . 2009-03-26 16:14 d
C:Головоломки
2009-03-25 20:49 . 2009-03-25 20:49 8,192 —a
c:windowsREGLOCS.OLD
2009-03-25 20:35 . 2009-03-29 15:08 d
C:USD
2009-03-25 15:22 . 2009-03-27 18:16 d
c:program filesSmsTool
2009-03-24 22:53 . 2009-03-27 22:28 d
C:Algodoo Phun Edition
2009-03-24 22:03 . 2009-03-24 22:03 d
c:documents and settingsАдминистраторApplication DataDatarescue
2009-03-24 21:51 . 2009-03-24 21:51 d
c:program filesJufsoft
2009-03-24 21:35 . 2009-03-24 21:36 d
C:Охота на Рыбалку 2
2009-03-24 21:02 . 2009-03-24 21:02 d
C:PostNews30
2009-03-24 17:44 . 2009-03-26 13:21 608 —a
c:windowssystem32driversSyser.cfg
2009-03-24 17:44 . 2009-03-26 13:21 184 —a
c:windowssystem32driversSyserColor.cfg
2009-03-24 13:51 . 2009-03-24 13:51 1,671,327 —a
C:WinsockFix.sfx.idb
2009-03-24 13:49 . 2009-03-24 13:49 729,206 —a
C:WinsockFix.sfx.exe
2009-03-24 13:48 . 2009-03-24 13:48 d
c:documents and settingsAdministratorApplication DataDatarescue
2009-03-24 13:28 . 2009-03-24 13:28 d
C:Python25
2009-03-24 12:58 . 2009-03-24 13:33 d
C:Дебаггеры
2009-03-24 12:58 . 2009-03-24 12:58 53,760 —ahs—- C:Thumbs.db
2009-03-23 21:00 . 2009-03-23 21:00 52,736 —a
c:windowsipuninst.exe
2009-03-23 20:50 . 2009-03-23 20:50 d
C:Intrplay
2009-03-23 19:46 . 2009-03-23 19:46 d
c:program filesGSC World Publishing
2009-03-23 01:40 . 2009-03-23 01:41 d
c:program filesХакер. Искажение времени
2009-03-23 01:39 . 2009-03-23 01:39 d
c:documents and settingsАдминистраторApplication DataInstallShield
2009-03-20 20:04 . 2009-03-20 20:04 19,251,064 —a
C:123.camrec
2009-03-20 10:11 . 2009-03-20 10:11 d
c:documents and settingsАдминистраторApplication DataASCON
2009-03-20 02:14 . 2007-06-21 21:53 67,712 —a
c:windowssystem32drivershl_mull.sys
2009-03-20 02:09 . 2009-03-20 02:09 d—h
c:windowssystem32GroupPolicy
2009-03-20 01:54 . 2006-11-22 11:01 693,760 —a
c:windowssystem32drivershardlock.sys
2009-03-20 01:54 . 2009-03-20 01:54 47,616 —a
c:windowssystem32driversHaspnt.sys
2009-03-20 01:54 . 2009-03-20 01:54 6,656 —a
c:windowssystem32haspvdd.dll
2009-03-20 01:54 . 2009-03-20 01:54 5,752 —a
c:windowssystem32config.hsp
2009-03-20 01:54 . 2009-03-20 01:54 383 —a
c:windowssystem32haspdos.sys
2009-03-20 01:52 . 2009-03-20 02:03 d
c:program filesCommon FilesASCON Shared
2009-03-20 01:49 . 2009-03-20 01:49 d
c:program filesASCON
2009-03-20 01:38 . 2009-03-20 01:38 d
c:documents and settingsАдминистраторApplication DataYandex
2009-03-19 22:25 . 2009-03-19 22:25 d
c:documents and settingsАдминистратор.borland
2009-03-19 22:25 . 2009-03-19 22:25 d
c:documents and settingsАдминистратор.borland
2009-03-19 22:25 . 2009-03-19 22:25 10,128 —a
c:windowswinsight.ini
2009-03-19 22:19 . 2009-03-19 22:22 d
c:program filesCommon FilesBorland Shared
2009-03-19 22:19 . 2009-03-19 22:19 d
c:program filesBorland
2009-03-19 22:15 . 2009-03-19 22:15 d
C:Borland Delphi 7 Studio Enterprise
2009-03-18 22:58 . 2009-03-20 20:12 60 —a
c:windowsBlueFace.INI
2009-03-18 20:03 . 2009-03-27 18:16 d
c:documents and settingsAll UsersApplication DataBimesoft
2009-03-18 20:02 . 2009-03-27 18:16 d
c:program filesSurfOffline Professional 2
2009-03-18 00:03 . 2009-03-18 20:14 32 —a
c:windowssystem32resmodes.dat
2009-03-17 23:44 . 2009-03-17 23:45 d
c:documents and settingsАдминистраторApplication DataResource Tuner
2009-03-16 20:25 . 2009-03-16 20:36 d
c:program filesTony Hawk’s Underground 2
2009-03-16 19:26 . 2009-03-28 00:08 d
c:program filesFieryAds
2009-03-16 19:26 . 2009-03-16 19:26 30,208 —a
c:windowssystem32borlndmm.dll
2009-03-16 19:26 . 2009-03-27 17:11 910 —a
c:documents and settingsАдминистраторApplication Datafieryads.dat
2009-03-15 20:43 . 2009-03-15 21:35 d
C:game
2009-03-15 20:41 . 2009-03-16 23:00 d
C:Universal_Extractor_1.6_Portable_Rus
2009-03-15 17:00 . 2009-03-15 17:00 239 —a
c:windowsWINCMD.INI
2009-03-14 20:39 . 2009-03-14 20:43 7,289 —a
c:windowscoolkb99.ini
2009-03-14 20:39 . 2009-03-14 20:43 3,488 —a
c:windowsCOOL.INI
2009-03-14 20:39 . 2009-03-14 20:39 45 —a
c:windowsCOOLSYS.INI
2009-03-14 20:37 . 2009-03-14 21:12 d
c:documents and settingsAll UsersApplication DataVSO
2009-03-13 23:27 . 2009-03-27 18:15 d
C:ProHackerIILite
2009-03-13 22:23 . 2009-03-27 18:15 d
C:ProHacker 2.0
2009-03-13 22:10 . 2009-03-13 22:13 d
c:windowssystem32XPSViewer
2009-03-13 22:10 . 2009-03-13 22:10 d
c:program filesReference Assemblies
2009-03-13 22:10 . 2009-03-13 22:10 d
c:program filesMSBuild
2009-03-13 22:09 . 2009-03-14 20:21 d
c:windowsSxsCaPendDel
2009-03-13 22:09 . 2006-06-29 14:07 14,048
c:windowssystem32spmsg2.dll
2009-03-13 21:06 . 2009-03-13 21:06 d
c:program filesVMware
2009-03-13 18:31 . 2009-03-27 18:13 d
c:program filesCommand & Conquer — Tiberian Sun Firestorm
2009-03-13 00:58 . 2009-03-13 00:58 d
c:program filesAIMP2
2009-03-13 00:58 . 2009-03-29 01:32 d
c:documents and settingsАдминистраторApplication DataAIMP
2009-03-12 23:05 . 2009-03-12 23:05 d
c:program filesDecker
2009-03-12 21:47 . 2009-03-27 18:17 d
c:program filesSuper Mario Blue Twilight DX
2009-03-12 16:20 . 2009-03-27 18:13 d
c:program filesPassware
2009-03-11 19:26 . 2009-03-11 19:49 d
c:documents and settingsАдминистраторApplication DataPetShowCraze
2009-03-11 18:55 . 2009-03-11 18:56 d
c:program filesAlawar.ru.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-29 11:08
d
w c:program filesMinefield
2009-03-28 17:51
d
w c:documents and settingsАдминистраторApplication DatauTorrent
2009-03-27 20:28
d
w c:documents and settingsАдминистраторApplication DataThinstall
2009-03-27 14:14
d—h—w c:program filesInstallShield Installation Information
2009-03-26 19:26
d
w c:program filesCrayon Physics Deluxe
2009-03-26 17:26
d—a-w c:documents and settingsAll UsersApplication DataTEMP
2009-03-26 11:47
d
w c:documents and settingsАдминистраторApplication DataWebMoney
2009-03-25 17:00 20,872 —-a-w c:documents and settingsАдминистраторApplication DataGDIPFONTCACHEV1.DAT
2009-03-20 15:39
d
w c:program filesKGB Archiver
2009-03-20 15:38
d
w c:program filesWindows Media Connect 2
2009-03-20 15:38
d
w c:program filesWebMoney Advisor
2009-03-20 15:38
d
w c:program filesRestorator 2007
2009-03-20 15:38
d
w c:program filesOpenVPN
2009-03-20 15:38
d
w c:program filesIDAutomation.com Code 39 Font
2009-03-20 15:38
d
w c:program filesDownload Master
2009-03-20 15:38
d
w c:program filesAGEIA Technologies
2009-03-16 14:58 717,296 —-a-w c:windowssystem32driverssptd.sys
2009-03-15 22:28
d
w c:program filesMediaCoder
2009-03-12 21:17
d
w c:program filesNOD32view
2009-03-11 15:43
d
w c:program filesWinHex
2009-03-09 18:28
d
w c:program filesESET
2009-03-09 18:25
d
w c:documents and settingsAll UsersApplication DataESET
2009-03-08 16:35
d
w c:program filesWinImage
2009-03-08 16:01
d
w c:program filesUnlocker
2009-03-07 12:01
d
w c:program filesDetectiveStory
2009-03-06 16:56
d
w c:program filesMediaHouse
2009-03-06 14:39
d
w c:program filesMario Forever
2009-03-05 19:11
d
w c:program filesAvaLink DC++
2009-02-27 16:51 1,207,871 —-a-w C:NOD32view3i08i4.exe
2009-02-27 16:40
d
w c:program filespLan2
2009-02-17 17:55
d
w c:program filesCommon FilesWise Installation Wizard
2009-02-14 19:35 53,542 —-a-w C:HideToolz.zip
2009-02-13 19:16
d
w c:program filesTeleport Pro
2009-02-08 14:54
d
w c:documents and settingsАдминистраторApplication DataReactOS
2009-02-06 15:58 2,111 —-a-w c:program filesadrms_log.txt
2009-02-06 14:43
d
w c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-02-06 11:24 93,336 —-a-w c:windowssystem32driversepfwtdir.sys
2009-02-06 11:23 106,208 —-a-w c:windowssystem32driversehdrv.sys
2009-02-06 11:19 113,448 —-a-w c:windowssystem32driverseamon.sys
2009-02-05 17:53
d
w c:documents and settingsАдминистраторApplication DataATI
2009-02-05 17:32
d
w c:program filesATI Technologies
2009-02-05 16:44
d
w c:documents and settingsАдминистраторApplication DataImgBurn
2009-02-04 17:17
d
w c:documents and settingsAll UsersApplication DataTrymedia
2009-02-03 13:45
d
w c:program filesC-Media 3D Audio2
2009-02-03 13:43 8 —-a-w C:DFIMB.DAT
2009-02-02 17:59
d
w c:program filesC-Media 3D Audio
2009-02-02 15:36 1,445,888 —-a-w C:WinsockFix.exe
2009-02-01 16:27
d
w c:documents and settingsАдминистраторApplication DataOpenCandy
2009-01-14 21:11 655,628 —-a-w C:ersave.dat
2008-06-20 02:42 46,387 —-a-w c:program filessource.txt
2008-06-19 20:34 2,969 —-a-w c:program filesreadme.txt
2008-06-17 02:32 349 —-a-w c:program fileslicense.txt
2007-08-20 12:43 51
w c:program filesALAWAR.URL
2006-01-26 06:41 30,214
w c:program filesalawar.ico
2004-02-04 23:04 1,062,333 —-a-w c:program filesGTA Mod Installer.exe
2004-01-27 13:13 348,160 —-a-w c:program filesmsvcr71.dll
2002-01-05 04:37 344,064 —-a-w c:program filesmsvcr70.dll
.
Sigcheck
2008-05-29 16:00 14336 27c6d03bcdb8cfeb96b716f3d8be3e18 c:windowssystem32svchost.exe2008-08-19 22:29 579072 b431d43105a8e73d5d68565340dbbb97 c:windowssystem32user32.dll
2008-08-19 22:30 952832 9f4307837857765bf291d088853cc6d2 c:windowssystem32wininet.dll
2008-08-19 22:34 361600 df70435f3d17c40d5cb15e6dc918342e c:windowssystem32driverstcpip.sys
2008-08-19 22:36 2058112 eb43f6a4a0522b1b7c80f2d279d74c25 c:windowssystem32ntkrnlpa.exe
2008-08-19 22:26 2181248 d6cfad5ed3874dcb451fbda4ee5a9c63 c:windowssystem32ntoskrnl.exe
2008-05-29 16:00 1033728 12896823fb95bfb3dc9b46bcaedc9923 c:windowsexplorer.exe
2008-08-19 22:28 30208 5ab4617045c7a0df784ba751fcbffa7c c:windowssystem32ctfmon.exe
2008-08-19 22:30 80584 96025a586b4ab7a5cfd14f76c3fc49a6 c:windowssystem32wuauclt.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-03-29_15.18.25,89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 16:02:28 163,328 —-a-w c:windowsERDNTsubsERDNT.EXE
— 2009-03-29 11:18:06 53,248 —-a-w c:windowsTEMPcatchme.dll
+ 2009-03-29 13:53:11 53,248 —-a-w c:windowsTEMPcatchme.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
2008-09-05 16:42 2409472 —a
c:program filesWebMoney Advisorwmadvisor.dll[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-09-05 2409472][HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223][HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-09-05 2409472][HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]
«Fraps»=»c:fraps2FRAPS.EXE» [2006-11-04 338432]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2008-08-19 30208]
«AlcoholAutomount»=»c:program filesAlcohol SoftAlcohol 120axcmd.exe» [2009-02-24 203928][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«UnlockerAssistant»=»c:program filesUnlockerUnlockerAssistant.exe» [2008-05-02 15872]
«ATICCC»=»c:program filesATI TechnologiesATI.ACEcli.exe» [2006-01-02 45056]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2009-02-06 2021400]
«Cmaudio»=»cmicnfg.cpl» [2004-01-07 c:windowsCMICNFG.CPL][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableStatusMessages»= 1 (0x1)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«NoSMMyPictures»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)
«NoCommonGroups»= 1 (0x1)
«GreyMSIAds»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«NoSMMyPictures»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)
«StartMenuLogoff»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronis Scheduler2 Service]
—a
2008-11-04 22:14 165144 c:program filesCommon FilesAcronisSchedule2schedhlp.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcronisTimounterMonitor]
—a
2008-11-04 22:20 962136 c:program filesAcronisTrueImageHomeTimounterMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregTrueImageMonitor.exe]
—a
2008-11-04 21:54 4382376 c:program filesAcronisTrueImageHomeTrueImageMonitor.exe[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\EKo(copy please)\Downloads\Архивы\crack\wasm.ru\utorrent.exe»=R0 snapman380;Acronis Snapshots Manager (Build 380);c:windowssystem32driverssnman380.sys [2009-01-15 134272]
R0 tdrpman147;Acronis Try&Decide and Restore Points filter (build 147);c:windowssystem32driverstdrpm147.sys [2009-01-15 971232]
R1 ehdrv;ehdrv;c:windowssystem32driversehdrv.sys [2009-02-06 106208]
R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [2009-02-06 93336]
R2 ekrn;ESET Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2009-02-06 727720]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian — DefaultInstance;c:program filesFirebirdFirebird_2_0binfbguard.exe -s —> c:program filesFirebirdFirebird_2_0binfbguard.exe -s [?]
R2 hl_mull;hl_mull;c:windowssystem32drivershl_mull.sys [2009-03-20 67712]
R3 FirebirdServerDefaultInstance;Firebird Server — DefaultInstance;c:program filesFirebirdFirebird_2_0binfbserver.exe -s —> c:program filesFirebirdFirebird_2_0binfbserver.exe -s [?]
R3 tap0801;TAP-Win32 Adapter V8;c:windowssystem32driverstap0801.sys [2009-01-17 23552]
S1 vdi3ntc5;AVZ-BC Kernel Driver;??c:windowssystem32Driversvdi3ntc5.sys —> c:windowssystem32Driversvdi3ntc5.sys [?]
S3 CrystalSysInfo;CrystalSysInfo;c:program filesMediaCoderSysInfo.sys [2007-09-25 15152]
S3 NPF;NetGroup Packet Filter Driver;c:windowssystem32driversnpf.sys [2006-10-17 35072]
S3 PsSdk41;PsSdk41;c:windowssystem32driverspssdk41.sys [2009-01-19 36928][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2Z]
ShellAutoRuncommand — z:.Start.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{07511351-e804-11dd-9fb0-000129ff3f73}]
ShellAutoRuncommand — E:autorun.exe
Shellreaditcommand — notepad readme.doc[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e79fffd9-1338-11de-a065-000129ff3f73}]
ShellAutoRuncommand — e:kompas-3d_v9setup.exe
.
— — — — ORPHANS REMOVED — — — —Toolbar-ITBar7Position — (no file)
.
Supplementary Scan
.
uStart Page = hxxp://www.apeha.ru
uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1Office10EXCEL.EXE/3000
IE: Add to &Teleport — c:program filesTeleport Proteleport.htm
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
IE: {{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — c:program filesWebMoney Advisorwmadvisor.dll
FF — ProfilePath — c:documents and settingsАдминистраторApplication DataMozillaFirefoxProfilessxpr22j0.default—- FIREFOX POLICIES —-
c:program filesMinefieldgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMinefieldgreprefsall.js — pref(«media.enforce_same_site_origin», false);
c:program filesMinefieldgreprefsall.js — pref(«media.ogg.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«media.wave.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«media.autoplay.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«browser.urlbar.autocomplete.enabled», true);
c:program filesMinefieldgreprefsall.js — pref(«capability.policy.mailnews.*.wholeText», «noAccess»);
c:program filesMinefieldgreprefsall.js — pref(«network.http.prompt-temp-redirect», true);
c:program filesMinefieldgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMinefieldgreprefsall.js — pref(«network.tcp.sendbuffer», 131072);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 60);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr», «»);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-cjkt», «»);
c:program filesMinefielddefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-f-CN», «»);
c:program filesMinefielddefaultspreffirefox.js — pref(«extensions.blocklist.level», 2);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.urlbar.restrict.typed», «~»);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.urlbar.default.behavior», 0);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.ssl_override_behavior», 2);
c:program filesMinefielddefaultspreffirefox.js — pref(«security.alternate_certificate_error_page», «certerror»);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.privatebrowsing.autostart», false);
c:program filesMinefielddefaultspreffirefox.js — pref(«browser.privatebrowsing.dont_prompt_on_enter», false);
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 17:53:11
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(904)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll— — — — — — — > ‘lsass.exe'(960)
c:windowssystem32SETUPAPI.dll
.
Other Running Processes
.
c:windowssystem32ati2evxx.exe
c:windowssystem32ati2evxx.exe
c:program filesCommon FilesAcronisSchedule2schedul2.exe
c:program filesFirebirdFirebird_2_0binfbguard.exe
c:program filesCommon FilesMicrosoft SharedVS7Debugmdm.exe
c:program filesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
c:windowssystem32rundll32.exe
c:program filesFirebirdFirebird_2_0binfbserver.exe
.
**************************************************************************
.
Completion time: 2009-03-29 17:57:50 — machine was rebooted
ComboFix-quarantined-files.txt 2009-03-29 13:57:47
ComboFix2.txt 2009-03-29 11:19:43Pre-Run: 19 672 387 584 байт свободно
Post-Run: 19,609,169,920 байт свободно380
P.S.
Заранее спасибо за помощь :).
- Для ответа в этой теме необходимо авторизоваться.
