- This topic has 8 ответов, 2 участника, and was last updated 16 years, 6 months назад by
.
-
Сообщения
-
Запустила программу ComboFix, получила следующее, но информер не пропал, что делать дальше?
ComboFix 08-12-18.01 — DINA 2008-12-19 0:31:09.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2038.1391 [GMT 3:00]
Running from: c:downloadsПрограммыComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsDINALocal SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files2A665EDD_5758_480c_8366_66DFC5F23877.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files362FD6E8_8CDA_4c2a_A8AA-BDA22B321711.jpg
c:documents and settingsDINALocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files478BD4AE_2691_438d_BDCA_3485DC022700.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files61EA7D69_19D4_421a_A899_0DF4D58CD119.jpg
c:documents and settingsDINALocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files98F6DF79_7171_452d_9C26_C0193E12DBDF.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesA2B240D6_0386_419e_91C5_3F7D90437CD0.jpg
c:documents and settingsDINALocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesE9A4D648_ED73_4ea7_88B2_18332DBA4F3E.jpg
c:windowssystem32x64.
((((((((((((((((((((((((( Files Created from 2008-11-18 to 2008-12-18 )))))))))))))))))))))))))))))))
.2008-12-18 15:53 . 2008-12-18 15:53 331,776 —a
c:documents and settingsAll UsersApplication Datacwhlib.dll
2008-11-22 15:29 . 2008-11-22 15:30d
c:documents and settingsDINAApplication DataU3
2008-11-18 22:38 . 2008-11-18 22:38d
c:windowssystem32ru
2008-11-18 22:38 . 2008-11-18 22:38d
c:windowssystem32bits
2008-11-18 22:38 . 2008-11-18 22:38d
c:windowsl2schemas
2008-11-18 22:36 . 2008-11-18 22:36d
c:windowsServicePackFiles.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 21:34 541,472 —sha-w c:windowssystem32driversfidbox2.dat
2008-12-18 21:34 12,063,776 —sha-w c:windowssystem32driversfidbox.dat
2008-12-18 21:34
d
w c:documents and settingsDINAApplication DataSkype
2008-12-18 21:33 51,764 —sha-w c:windowssystem32driversfidbox2.idx
2008-12-18 21:33 167,792 —sha-w c:windowssystem32driversfidbox.idx
2008-12-18 21:04
d
w c:documents and settingsDINAApplication DataskypePM
2008-12-18 14:43
d
w c:documents and settingsAll UsersApplication DataKaspersky Lab
2008-12-18 12:41
d
w c:documents and settingsAll UsersApplication DataMicrosoft Help
2008-12-09 20:54
d
w c:program filesDownload Master
2008-12-09 20:53
d
w c:program filesQIP
2008-10-29 12:38
d
w c:documents and settingsDINAApplication DataNokia Multimedia Player
2008-10-24 11:21 455,296 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-24 07:38
d
w c:program filesPunto Switcher
2008-10-24 07:38
d
w c:documents and settingsDINAApplication DataYandex
2008-10-18 17:41
d
w c:documents and settingsDINAApplication DataPC Suite
2008-10-18 17:39
d
w c:documents and settingsDINAApplication DataNokia
2008-10-18 17:39
d
w c:documents and settingsAll UsersApplication DataPC Suite
2008-10-18 17:38
d
w c:program filesPC Connectivity Solution
2008-10-18 17:38
d
w c:program filesNokia
2008-10-18 17:38
d
w c:program filesDIFX
2008-10-18 17:38
d
w c:program filesCommon FilesPCSuite
2008-10-18 17:38
d
w c:program filesCommon FilesNokia
2008-10-18 17:37
d
w c:documents and settingsAll UsersApplication DataInstallations
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
2008-12-18 15:53 331776 —a
c:documents and settingsAll UsersApplication Datacwhlib.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-11-18 3297280]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-09-29 21755688]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2008-02-28 1828136]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2008-04-14 1695232]
«Punto Switcher»=»c:program filesPunto Switcherpunto.exe» [2008-10-16 735016][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-06-12 174872]
«SMSERIAL»=»c:program filesMotorolaSMSERIALsm56hlpr.exe» [2006-11-22 630784]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2007-05-10 864256]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-06-01 142104]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-06-01 162584]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-06-01 138008]
«WebCamHotKey»=»c:program filesFSCWebCam HotKey UtilityWebCam_HotKey.exe» [2007-06-26 376832]
«TouchPadHotKey»=»c:program filesFSCTouchPad HotKey UtilityTouchPad_HotKey.exe» [2007-06-26 360448]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2008-02-28 570664]
«PCSuiteTrayApplication»=»c:program filesNokiaNokia PC Suite 6LaunchApplication.exe» [2007-06-18 271360]
«AVP»=»c:program filesKaspersky LabKaspersky Internet Security 7.0avp.exe» [2008-02-08 227856]
«RTHDCPL»=»RTHDCPL.EXE» [2007-05-10 c:windowsRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2007-06-19 1241088]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Acrobat Assistant.lnk — c:program filesAdobeAcrobat 6.0Distillracrotray.exe [2003-05-15 217193]
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2007-02-27 2756608]
WirelessSelector.lnk — c:program filesFSCWireless UtilityWirelessSelector.exe [2008-10-14 650752][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=R3 acpi_contactor;acpi_contactor Driver;c:windowssystem32DRIVERSacpi_contactor_xp.sys [2008-10-14 6528]
R3 GTPTSER;GT PT SER;c:windowssystem32DRIVERSgtptser.sys [2007-04-14 8064]
R3 GTUQBUS;GT UQ BUS;c:windowssystem32DRIVERSgtuqbus.sys [2007-04-14 37120]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32DRIVERSklim5.sys [2007-12-13 24592]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:windowssystem32DRIVERSGtm51Irp.sys [2007-04-14 122496][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2F]
ShellAutoRuncommand — F:LaunchU3.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7db81551-b890-11dd-8be4-001cbfc54bbb}]
ShellAutoRuncommand — F:LaunchU3.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fad4d917-9df7-11dd-8bac-00a0d1cbd151}]
ShellAutoRuncommand — F:Autorun.exe
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
IE: &Экспорт в Microsoft Excel — c:progra~1OfficeOffice12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe —
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-19 00:34:13
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1584)
c:program filesKaspersky LabKaspersky Internet Security 7.0miscr3.dll
c:windowssystem32klogon.dll— — — — — — — > ‘lsass.exe'(1640)
c:program filesKaspersky LabKaspersky Internet Security 7.0dnsq.dll
c:program filesKaspersky LabKaspersky Internet Security 7.0miscr3.dll
c:program filesKaspersky LabKaspersky Internet Security 7.0fssync.dll
.
Other Running Processes
.
c:windowssystem32igfxsrvc.exe
c:program filesToshibaBluetooth Toshiba StackTosA2dp.exe
c:program filesToshibaBluetooth Toshiba StackTosBtHid.exe
c:program filesToshibaBluetooth Toshiba StackTosBtBty.exe
c:program filesToshibaBluetooth Toshiba StackTosAVRC.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32IoctlSvc.exe
c:program filesToshibaBluetooth Toshiba StackTosBtSrv.exe
c:windowssystem32wdfmgr.exe
c:program filesToshibaBluetooth Toshiba StackTosOBEX.exe
c:program filesSkypePlugin ManagerskypePM.exe
c:program filesToshibaBluetooth Toshiba StackTosBtProc.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesCommon FilesNeroLibNMIndexingService.exe
.
**************************************************************************
.
Completion time: 2008-12-19 0:37:10 — machine was rebooted
ComboFix-quarantined-files.txt 2008-12-18 21:37:05Pre-Run: 124 721 684 480 байт свободно
Post-Run: 124,658,823,168 байт свободно180 — E O F — 2008-12-18 14:00:44
Здравствуйте, e-dinka. Добро пожаловать на форум.
Для отключения автозапуска скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""Или распакуйте файл AutorunDisabled.zip и примените.
Найдите файл c:windowssystem32DRIVERSacpi_contactor_xp.sys и проверьте на http://virustotal.com, результат проверки скопируйте сюда или дайте ссылку.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
File::
c:documents and settingsAll UsersApplication Datacwhlib.dll
F:LaunchU3.exe
F:Autorun.exe
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2F]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7db81551-b890-11dd-8be4-001cbfc54bbb}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fad4d917-9df7-11dd-8bac-00a0d1cbd151}]
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{ EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
[-HKEY_CLASSES_ROOTCLSID{EF2F27EF-105F-4322-86B3-A4CBD8A13938}]
FileLook::
c:windowssystem32DRIVERSacpi_contactor_xp.sys
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:ComboFix.txt и прикрепите к сообщению.
Скачайте HijackThis и распакуйте.
Запустите HijackThis. Нажмите на кнопку «Do a system scan and save a logfile». Выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)http://www.virustotal.com/ru/analisis/6d8bd166a31991c5b56a5276c13a6710
следующее
ComboFix 08-12-18.01 — DINA 2008-12-19 16:14:32.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2038.1436 [GMT 3:00]
Running from: c:downloadsПрограммыComboFix.exe
Command switches used :: c:documents and settingsDINAРабочий столCFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:documents and settingsAll UsersApplication Datacwhlib.dll
F:Autorun.exe
F:LaunchU3.exe
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsAll UsersApplication Datacwhlib.dll
c:documents and settingsDINALocal SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files2A665EDD_5758_480c_8366_66DFC5F23877.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files362FD6E8_8CDA_4c2a_A8AA-BDA22B321711.jpg
c:documents and settingsDINALocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files478BD4AE_2691_438d_BDCA_3485DC022700.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files61EA7D69_19D4_421a_A899_0DF4D58CD119.jpg
c:documents and settingsDINALocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.gif
c:documents and settingsDINALocal SettingsTemporary Internet Files98F6DF79_7171_452d_9C26_C0193E12DBDF.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesA2B240D6_0386_419e_91C5_3F7D90437CD0.jpg
c:documents and settingsDINALocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.gif
c:documents and settingsDINALocal SettingsTemporary Internet FilesE9A4D648_ED73_4ea7_88B2_18332DBA4F3E.jpg.
((((((((((((((((((((((((( Files Created from 2008-11-19 to 2008-12-19 )))))))))))))))))))))))))))))))
.2008-11-22 15:29 . 2008-11-22 15:30
d
c:documents and settingsDINAApplication DataU3.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-19 13:17 12,275,232 —sha-w c:windowssystem32driversfidbox.dat
2008-12-19 13:17
d
w c:documents and settingsDINAApplication DataSkype
2008-12-19 13:16 546,848 —sha-w c:windowssystem32driversfidbox2.dat
2008-12-19 13:02
d
w c:documents and settingsDINAApplication DataskypePM
2008-12-18 21:55 51,932 —sha-w c:windowssystem32driversfidbox2.idx
2008-12-18 21:55 168,920 —sha-w c:windowssystem32driversfidbox.idx
2008-12-18 14:43
d
w c:documents and settingsAll UsersApplication DataKaspersky Lab
2008-12-18 12:41
d
w c:documents and settingsAll UsersApplication DataMicrosoft Help
2008-12-13 06:39 3,593,216 —-a-w c:windowssystem32dllcachemshtml.dll
2008-12-09 20:54
d
w c:program filesDownload Master
2008-12-09 20:53
d
w c:program filesQIP
2008-10-29 12:38
d
w c:documents and settingsDINAApplication DataNokia Multimedia Player
2008-10-24 11:21 455,296 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-24 11:21 455,296
w c:windowssystem32dllcachemrxsmb.sys
2008-10-24 07:38
d
w c:program filesPunto Switcher
2008-10-24 07:38
d
w c:documents and settingsDINAApplication DataYandex
2008-10-23 12:42 286,720 —-a-w c:windowssystem32gdi32.dll
2008-10-23 12:42 286,720
w c:windowssystem32dllcachegdi32.dll
2008-10-16 13:16 70,656 —-a-w c:windowssystem32dllcacheie4uinit.exe
2008-10-16 13:11 13,824
w c:windowssystem32dllcacheieudinit.exe
2008-10-16 11:13 202,776 —-a-w c:windowssystem32wuweb.dll
2008-10-16 11:13 202,776 —-a-w c:windowssystem32dllcachewuweb.dll
2008-10-16 11:13 1,809,944 —-a-w c:windowssystem32wuaueng.dll
2008-10-16 11:13 1,809,944 —-a-w c:windowssystem32dllcachewuaueng.dll
2008-10-16 11:12 561,688 —-a-w c:windowssystem32wuapi.dll
2008-10-16 11:12 561,688 —-a-w c:windowssystem32dllcachewuapi.dll
2008-10-16 11:12 323,608 —-a-w c:windowssystem32wucltui.dll
2008-10-16 11:12 323,608 —-a-w c:windowssystem32dllcachewucltui.dll
2008-10-16 11:09 92,696 —-a-w c:windowssystem32dllcachecdm.dll
2008-10-16 11:09 92,696 —-a-w c:windowssystem32cdm.dll
2008-10-16 11:09 51,224 —-a-w c:windowssystem32wuauclt.exe
2008-10-16 11:09 51,224 —-a-w c:windowssystem32dllcachewuauclt.exe
2008-10-16 11:09 43,544 —-a-w c:windowssystem32wups2.dll
2008-10-16 11:08 34,328 —-a-w c:windowssystem32wups.dll
2008-10-16 11:08 34,328 —-a-w c:windowssystem32dllcachewups.dll
2008-10-16 11:06 268,648 —-a-w c:windowssystem32mucltui.dll
2008-10-16 11:06 208,744 —-a-w c:windowssystem32muweb.dll
2008-10-15 16:37 337,408
w c:windowssystem32dllcachenetapi32.dll
2008-10-15 07:06 633,632 —-a-w c:windowssystem32dllcacheiexplore.exe
2008-10-15 07:04 161,792 —-a-w c:windowssystem32dllcacheieakui.dll
2008-10-03 10:04 247,326 —-a-w c:windowssystem32strmdll.dll
2008-10-03 10:04 247,326 —-a-w c:windowssystem32dllcachestrmdll.dll
2008-09-30 13:43 1,286,152 —-a-w c:windowssystem32msxml4.dll
.(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.—- c:windowssystem32DRIVERSacpi_contactor_xp.sys —-
Company: INVENTEC Corporation
File Description: ACPI BIOS Linkage 32-bit Driver
File Version: 1.0.0.0V built by: WinDDK
Product Name: ACPI BIOS Linkage Service
Copyright: Copyright (c) INVENTEC Corp. 2007
Original file name: acpi_contactor.sys (INVENTEC Corp. ODM department design)
MD5: 790ffbaf01423bc8a2c22a3f5bdef1d0((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-11-18 3297280]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-09-29 21755688]
«IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe» [2008-02-28 1828136]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2008-04-14 1695232]
«Punto Switcher»=»c:program filesPunto Switcherpunto.exe» [2008-10-16 735016][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2007-06-12 174872]
«SMSERIAL»=»c:program filesMotorolaSMSERIALsm56hlpr.exe» [2006-11-22 630784]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2007-05-10 864256]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-06-01 142104]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-06-01 162584]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-06-01 138008]
«WebCamHotKey»=»c:program filesFSCWebCam HotKey UtilityWebCam_HotKey.exe» [2007-06-26 376832]
«TouchPadHotKey»=»c:program filesFSCTouchPad HotKey UtilityTouchPad_HotKey.exe» [2007-06-26 360448]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2008-02-28 570664]
«PCSuiteTrayApplication»=»c:program filesNokiaNokia PC Suite 6LaunchApplication.exe» [2007-06-18 271360]
«RTHDCPL»=»RTHDCPL.EXE» [2007-05-10 c:windowsRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2007-06-19 1241088]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Acrobat Assistant.lnk — c:program filesAdobeAcrobat 6.0Distillracrotray.exe [2003-05-15 217193]
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2007-02-27 2756608]
WirelessSelector.lnk — c:program filesFSCWireless UtilityWirelessSelector.exe [2008-10-14 650752][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=R3 acpi_contactor;acpi_contactor Driver;c:windowssystem32DRIVERSacpi_contactor_xp.sys [2008-10-14 6528]
R3 GTPTSER;GT PT SER;c:windowssystem32DRIVERSgtptser.sys [2007-04-14 8064]
R3 GTUQBUS;GT UQ BUS;c:windowssystem32DRIVERSgtuqbus.sys [2007-04-14 37120]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32DRIVERSklim5.sys [2007-12-13 24592]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:windowssystem32DRIVERSGtm51Irp.sys [2007-04-14 122496]
.
— — — — ORPHANS REMOVED — — — —BHO-{EF2F27EF-105F-4322-86B3-A4CBD8A13938} — (no file)
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
IE: &Экспорт в Microsoft Excel — c:progra~1OfficeOffice12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe —
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-19 16:16:55
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1564)
c:program filesKaspersky LabKaspersky Internet Security 7.0miscr3.dll
c:windowssystem32klogon.dll— — — — — — — > ‘lsass.exe'(1620)
c:program filesKaspersky LabKaspersky Internet Security 7.0dnsq.dll
c:program filesKaspersky LabKaspersky Internet Security 7.0miscr3.dll
c:program filesKaspersky LabKaspersky Internet Security 7.0fssync.dll
.
Completion time: 2008-12-19 16:18:01
ComboFix-quarantined-files.txt 2008-12-19 13:17:57
ComboFix2.txt 2008-12-18 21:37:13Pre-Run: 124 642 283 520 байт свободно
Post-Run: 124,623,364,096 байт свободно184 — E O F — 2008-12-18 14:00:44
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:52, on 19.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesMotorolaSMSERIALsm56hlpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:Program FilesFSCWebCam HotKey UtilityWebCam_HotKey.exe
C:Program FilesFSCTouchPad HotKey UtilityTouchPad_HotKey.exe
C:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSkypePhoneSkype.exe
C:WINDOWSsystem32igfxsrvc.exe
C:Program FilesCommon FilesNeroLibNMIndexStoreSvr.exe
C:Program FilesPunto Switcherpunto.exe
C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtMng.exe
C:Program FilesFSCWireless UtilityWirelessSelector.exe
C:Program FilesToshibaBluetooth Toshiba StackTosA2dp.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtHid.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtBty.exe
C:Program FilesToshibaBluetooth Toshiba StackTosAVRC.exe
C:Program FilesToshibaBluetooth Toshiba StacktosOBEX.exe
C:Program FilesSkypePlugin ManagerskypePM.exe
C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32IoctlSvc.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
C:Program FilesToshibaBluetooth Toshiba StacktosBtProc.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:Program FilesCommon FilesNeroLibNMIndexingService.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32notepad.exe
C:WINDOWSexplorer.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Program FilesDownload Masterdmaster.exe
C:Program FilesTrend MicroHijackThisHijackThis.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/?clid=40316
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUserRegSetup?clid=1049
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0AcrobatActiveXAcroIEHelper.dll
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O2 — BHO: AcroIEToolbarHelper Class — {AE7CD045-E861-484f-8273-0445EE161910} — C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 — Toolbar: Adobe PDF — {47833539-D0C5-4125-9FA8-0819E2EAAC93} — C:Program FilesAdobeAcrobat 6.0AcrobatAcroIEFavClient.dll
O3 — Toolbar: DM Bar — {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — C:Program FilesDownload Masterdmbar.dll
O4 — HKLM..Run: [IAAnotif] «C:Program FilesIntelIntel Matrix Storage ManagerIaanotif.exe»
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [SMSERIAL] C:Program FilesMotorolaSMSERIALsm56hlpr.exe
O4 — HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 — HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 — HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 — HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 — HKLM..Run: [WebCamHotKey] C:Program FilesFSCWebCam HotKey UtilityWebCam_HotKey.exe
O4 — HKLM..Run: [TouchPadHotKey] C:Program FilesFSCTouchPad HotKey UtilityTouchPad_HotKey.exe
O4 — HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesNeroLibNeroCheck.exe
O4 — HKLM..Run: [PCSuiteTrayApplication] C:Program FilesNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [Skype] «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
O4 — HKCU..Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesNeroLibNMIndexStoreSvr.exe» ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherpunto.exe
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..Run: [Nokia.PCSync] C:Program FilesNokiaNokia PC Suite 6PcSync2.exe /NoDialog (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 6.0Distillracrotray.exe
O4 — Global Startup: Bluetooth Manager.lnk = ?
O4 — Global Startup: WirelessSelector.lnk = ?
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1OfficeOffice12EXCEL.EXE/3000
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Internet Security 7.0SCIEPlgn.dll
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O16 — DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) — http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224014287453
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: Kaspersky Internet Security 7.0 (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) — Intel Corporation — C:Program FilesIntelIntel Matrix Storage ManagerIaantmon.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Nero BackItUp Scheduler 3 — Nero AG — C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesNeroLibNMIndexingService.exe
O23 — Service: PLFlash DeviceIoControl Service — Prolific Technology Inc. — C:WINDOWSsystem32IoctlSvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: TOSHIBA Bluetooth Service — TOSHIBA CORPORATION — C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 9752 bytesВ логах ничего плохого.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
— скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
Проблемы ещё остались?Спасибо, проблема решена!!! Как я понимаю, все программки, используемые для этого процесса надо удалить
Вы какой процесс имеете ввиду? Если cwhlib.dll, то он разве где-то ещё в других программах (каких?) присутствует и вы его нашли?
Если вы имеете ввиду утилиту Combofix:
Запакуйте пожалуйста папку C:QooboxQuarantine с паролем virus и пришлите мне на user15802[at]mail.ru
Деинсталлируйте ComboFix: нажмите пуск – выполнить — Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!Создайте новую контрольную точку восстановления и очистите предыдущие:
— Нажмите Пуск — Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
— Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите СоздатьДля предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Рекомендую регулярно устанавливать обновления (обычно по вторникам каждой недели) — http://windowsupdate.microsoft.com
Советую прочитать электронную книгу «Безопасный Интернет. Универсальная защита для Windows ME — Vista» и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview
- Для ответа в этой теме необходимо авторизоваться.
