- This topic has 9 ответов, 2 участника, and was last updated 16 years, 5 months назад by
.
-
Сообщения
-
Скачал с англоизычного сайта файл, подразумевалось что это кряк, но это оказался какой-то кодек и даже после отмены его устонавливать началась какаято ерунда. Диск С (локальный) перестал открываться только через Коммандера получалось. Через время пропал антивирус KIS 8 (постоянно его обновлял), а перед этим он(антивирус) ничего ни выдавал (типа «чтото ни так» или «блин я отключаюсь» 😀 ). Попытался сам решить проблему: удалил KIS и поставил НОД, обновил его, проверил комп, он нашел пару тройку вредоносных, а при повторной проверке нашел теже самые и тамже 🙁 . Почитал в интернете, скачал Dr.Web CureIt, им проверил он находит каждый раз одни и теже вседоносные а именно: backdoor.tdss.199, Autoruner H***
На всех дисках образуются папка RECYCLER и autorun.ini
Незнаю уже что делать.ПОМОГИТЕ!!!
P.S.
Нашел инструкцию «Как удалить троян TDSServ (TDSSserv.sys)», пошел по шагам но на шаге «В открывшемся списке кликните правой клавишей по пункту TDSSserv или TDSSserv.sys или TDSSxyz.sys где xyz случайные символы» все прекратилось так как ни одноко драйвера с TDSS там не нашлось 🙁 .Logfile of random’s system information tool 1.06 (written by random/random)
Run by Admin at 2009-05-28 23:36:56
Microsoft Windows XP Professional Service Pack 3
System drive C: has 1 GB (11%) free of 11 GB
Total RAM: 511 MB (50% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:23, on 28.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32RUNDLL32.EXE
D:DistrUpdateClientWin32UpdateClientUI.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:Program FilesPunto Switcherpunto.exe
D:DistrUpdateClientWin32UpdateClientService.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32nvsvc32.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsAdminРабочий столRSIT.exe
C:Program Filestrend microAdmin.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = ftp://ftp.ealtai.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = ftp://ealtai.ru/
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — D:AltGTU NekitProgram123456Mradllnewmrasearch.dll
F2 — REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe
O2 — BHO: SnagIt Toolbar Loader — {00C6482D-C502-44C8-8409-FCE54AD9C208} — C:Program FilesTechSmithSnagit 9SnagitBHO.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 — BHO: IEVkbdBHO — {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} — C:Program FilesKaspersky LabKaspersky Internet Security 2009ievkbd.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: Snagit — {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [2gis update client UI] «D:DistrUpdateClientWin32UpdateClientUI.exe» -minimized
O4 — HKLM..Run: [PCSuiteTrayApplication] D:DistrNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Internet Security 2009avp.exe»
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherpunto.exe
O4 — HKCU..Run: [MAgent] D:AltGTU NekitProgram123456magent.exe -CU
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O9 — Extra button: Статистика защиты веб-трафика — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Internet Security 2009SCIEPlgn.dll
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O17 — HKLMSystemCCSServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS1ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS2ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1mzvkbd.dll,C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll,C:PROGRA~1KASPER~1KASPER~1adialhk.dll,C:PROGRA~1KASPER~1KASPER~1kloehk.dll
O23 — Service: 2GIS UpdateClientService — ДубльГИС — D:DistrUpdateClientWin32UpdateClientService.exe
O23 — Service: Kaspersky Internet Security (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Internet Security 2009avp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 9342 bytes======Scheduled tasks folder======
C:WINDOWStasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00C6482D-C502-44C8-8409-FCE54AD9C208}]
SnagIt Toolbar Loader — C:Program FilesTechSmithSnagit 9SnagitBHO.dll [2008-11-06 68936][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll [2003-11-04 54248][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class — C:Program FilesKaspersky LabKaspersky Internet Security 2009ievkbd.dll [2008-11-11 62728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper — C:Program FilesJavajre6binssv.dll [2009-02-08 320920][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-02-08 34816][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll [2009-02-08 73728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — Snagit — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll [2008-11-06 211272][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2007-04-17 577536]
«NvCplDaemon»=C:WINDOWSsystem32NvCpl.dll [2008-10-07 13574144]
«nwiz»=nwiz.exe /install []
«NvMediaCenter»=C:WINDOWSsystem32NvMcTray.dll [2008-10-07 86016]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2006-01-12 155648]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-02-09 5598392]
«2gis update client UI»=D:DistrUpdateClientWin32UpdateClientUI.exe [2008-09-17 4055040]
«PCSuiteTrayApplication»=D:DistrNokiaNokia PC Suite 6LaunchApplication.exe [2007-03-23 227328]
«AVP»=C:Program FilesKaspersky LabKaspersky Internet Security 2009avp.exe [2008-11-11 206088][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=C:Program FilesVistaDriveIconVistaDrv.exe [2008-01-02 132096]
«Punto Switcher»=C:Program FilesPunto Switcherpunto.exe [2008-10-30 734504]
«MAgent»=D:AltGTU NekitProgram123456magent.exe [2009-04-05 6210744]C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
Microsoft Office.lnk — C:Program FilesMicrosoft OfficeOffice10OSA.EXE[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»C:PROGRA~1KASPER~1KASPER~1mzvkbd.dll,C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll,C:PROGRA~1KASPER~1KASPER~1adialhk.dll,C:PROGRA~1KASPER~1KASPER~1kloehk.dll»[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon]
C:WINDOWSsystem32klogon.dll [2008-11-11 218376][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2008-03-02 133632][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{239107d4-032d-11de-a4d5-001485c2c8e4}]
shellAutoRuncommand — mccnxc.exe
shellexplorecommand — mccnxc.exe
shellopencommand — mccnxc.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{db706e39-4a87-11de-a5c0-001485c2c8e4}]
shellAutoRuncommand — G:rwnihr.exe
shellexplorecommand — G:rwnihr.exe
shellopencommand — G:rwnihr.exe======File associations======
.js — edit — «C:Program FilesMacromediaDreamweaver 8dreamweaver.exe» «%1»
======List of files/folders created in the last 1 months======
2009-05-28 23:36:57 —-D—- C:Program Filestrend micro
2009-05-28 23:36:56 —-D—- C:rsit
2009-05-28 23:04:43 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-05-28 23:04:43 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-05-28 22:50:03 —-D—- C:Avenger
2009-05-28 22:50:03 —-A—- C:avenger.txt
2009-05-28 18:22:21 —-D—- C:Program FilesKaspersky Lab
2009-05-28 18:22:21 —-D—- C:Documents and SettingsAll UsersApplication DataKaspersky Lab
2009-05-24 12:02:10 —-D—- C:Documents and SettingsAll UsersApplication DataCabela’s® Big Game Hunter III Saves
2009-05-21 12:14:34 —-D—- C:Program FilesReflexiveArcade
2009-05-16 23:12:05 —-D—- C:Documents and SettingsAll UsersApplication DataFLEXnet
2009-05-16 14:30:29 —-D—- C:Program FilesGames
2009-05-04 08:33:14 —-D—- C:Documents and SettingsAdminApplication DataKeys manager======List of files/folders modified in the last 1 months======
2009-05-28 23:36:57 —-AD—- C:Program Files
2009-05-28 23:04:46 —-D—- C:WINDOWSsystem32drivers
2009-05-28 22:52:45 —-D—- C:Program FilesMozilla Firefox
2009-05-28 22:51:15 —-A—- C:WINDOWSsystem32akelpad.ini
2009-05-28 22:50:48 —-D—- C:WINDOWSTemp
2009-05-28 22:50:03 —-AD—- C:WINDOWSsystem32
2009-05-28 22:48:56 —-A—- C:WINDOWSSchedLgU.Txt
2009-05-28 21:49:24 —-SHD—- C:RECYCLER
2009-05-28 21:23:33 —-SD—- C:WINDOWSTasks
2009-05-28 20:49:48 —-A—- C:WINDOWSNeroDigital.ini
2009-05-28 19:03:21 —-D—- C:WINDOWSsystem32CatRoot2
2009-05-28 19:03:12 —-D—- C:WINDOWS
2009-05-28 18:22:59 —-SHD—- C:WINDOWSInstaller
2009-05-28 18:22:45 —-HD—- C:WINDOWSinf
2009-05-28 12:24:32 —-D—- C:Documents and SettingsAdminApplication DatauTorrent
2009-05-28 12:22:01 —-D—- C:WINDOWSsystem32CatRoot
2009-05-27 22:53:51 —-D—- C:Documents and SettingsAll UsersApplication DataAlawarWrapper
2009-05-21 12:50:52 —-D—- C:WINDOWSWinSxS
2009-05-16 23:13:09 —-D—- C:Documents and SettingsAdminApplication DataAdobe
2009-05-12 21:41:42 —-SD—- C:Documents and SettingsAdminApplication DataMicrosoft======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 KLIF;Kaspersky Lab Driver; C:WINDOWSsystem32DRIVERSklif.sys [2009-05-28 227344]
R1 VBoxDrv;VirtualBox Service; C:WINDOWSsystem32DRIVERSVBoxDrv.sys [2008-12-17 100368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver; C:WINDOWSsystem32DRIVERSVBoxUSBMon.sys [2008-12-17 41680]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2008-01-25 4127488]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:WINDOWSsystem32DRIVERSklfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:WINDOWSsystem32DRIVERSklim5.sys [2008-04-30 24592]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2008-10-07 6133856]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:WINDOWSsystem32DRIVERSnvefd2k.sys [2007-07-12 42112]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2008-04-15 17152]
R3 VBoxNetFlt;VBoxNetFlt Service; C:WINDOWSsystem32DRIVERSVBoxNetFlt.sys [2008-12-17 81360]
S3 a379gaqc;a379gaqc; C:WINDOWSsystem32driversa379gaqc.sys []
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversnmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:WINDOWSsystem32driversnmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:WINDOWSsystem32driversnmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:WINDOWSsystem32driversnmwcdcm.sys [2007-02-22 12288]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-14 26368]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2008-04-15 12032]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 2GIS UpdateClientService;2GIS UpdateClientService; D:DistrUpdateClientWin32UpdateClientService.exe [2008-09-17 1134592]
R2 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2009-02-08 152984]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe [2008-10-07 163908]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
R3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2007-03-26 292864]
S2 AVP;Kaspersky Internet Security; C:Program FilesKaspersky LabKaspersky Internet Security 2009avp.exe [2008-11-11 206088]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe [2009-02-08 654848]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-19 913408]
EOF
info.txt logfile of random’s system information tool 1.06 2009-05-28 23:37:24======Uninstall list======
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
4.1.7 The Bat!—>C:Program FilesThe Bat!Uninstall.exe
Adobe Anchor Service CS3—>MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3—>MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Camera Raw 4.0—>MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps—>MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color — Photoshop Specific—>MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings—>MsiExec.exe /I{DADD7B8A-BCB0-44F5-967A-ECB6B4F2ECD9}
Adobe Color EU Extra Settings—>MsiExec.exe /I{51846830-E7B2-4218-8968-B77F0FF475B8}
Adobe Color JA Extra Settings—>MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Recommended Settings—>MsiExec.exe /I{95655ED4-7CA5-46DF-907F-7144877A32E5}
Adobe Default Language CS3—>MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Flash Player 10 Plugin—>C:WINDOWSsystem32MacromedFlashuninstall_plugin.exe
Adobe Fonts All—>MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Linguistics CS3—>MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe PDF Library Files—>MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3—>C:Program FilesCommon FilesAdobeInstallers719d6f144d0c086a0dfa7ff76bb9ac1Setup.exe
Adobe Photoshop CS3—>MsiExec.exe /I{3D7E3EC9-46CF-4359-9289-39CE01DFB82F}
Adobe Reader 6.0.2 CE—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-CEA000000001}
Adobe Setup—>MsiExec.exe /I{FF11004C-F42A-4A31-9BCF-7F5C8FDBE53C}
Adobe Type Support—>MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3—>MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client—>MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe WinSoft Linguistics Plugin—>MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP Panels CS3—>MsiExec.exe /I{802771A9-A856-4A41-ACF7-1450E523C923}
AirXonix version 1.36—>D:GamesигрыAIRXONIXAirXonixunins000.exe
CCleaner (remove only)—>»C:Program FilesCCleaneruninst.exe»
Daemon Tools Lite—>rundll32.exe advpack.dll,LaunchINFSection dtools.inf,Uninstall
Everest—>C:Program FilesEverestUninstall.exe
FastStone Image Viewer 3.6—>»C:Program FilesFastStoneImage Viewerunins000.exe»
Foxit Reader 3.0 Build 1122—>C:Program FilesFoxit ReaderUninstall.exe
FreeSweetGames (полное удаление)—>»D:AltGTU NekitProgramFreeSweetGamesuninst.exe»
HashTab&CDClose—>C:WINDOWSsystem32Uninstall.exe
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Java(TM) 6 Update 11—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Kaspersky Internet Security 2009—>MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Kaspersky Internet Security 2009—>MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Macromedia Dreamweaver 8—>MsiExec.exe /I{0837A661-FEC3-48B3-876C-91E7D32048A9}
Mail.Ru Агент 5.3 (сборка 2552, для всех пользователей)—>C:Program FilesMail.RuAgentmagentsetup.exe -uninstalllm
Malwarebytes’ Anti-Malware—>»C:Program FilesMalwarebytes’ Anti-Malwareunins000.exe»
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1—>MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Office XP (профессиональный выпуск)—>MsiExec.exe /I{91110419-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.5—>»C:WINDOWS$NtUninstallWudf01005$spuninstspuninst.exe»
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MozBackup 1.4.8—>»C:Program FilesMozBackupunins000.exe»
Mozilla Firefox (3.0.10)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
Mozilla Firefox 3.05—>C:Program FilesMozilla FirefoxUninstall.exe
MSXML 4.0 SP2 (KB954430)—>MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 6—>C:Program FilesAheadnerouninstallUNNERO.exe /UNINSTALL
NOD32 FiX v1.9—>»C:Program FilesEsetunins000.exe»
Nokia Connectivity Cable Driver—>MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia PC Suite—>C:Documents and SettingsAll UsersApplication DataInstallations{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}Nokia_PC_Suite_683_rel_14_1_EA.exe /LANG=»1049″
Nokia PC Suite—>MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
NVIDIA Drivers—>C:WINDOWSsystem32nvuninst.exe UninstallGUI
OperaAC—>C:Program FilesOperaACUninstall.exe
Paint.NET v 3.36—>rundll32.exe advpack.dll,LaunchINFSection PaintDN.inf,Uninstall
Path2Clipboard 1.0.8 (Remove only)—>»C:Program FilesVDSoftPath2Clipboardunins000.exe»
PC Connectivity Solution—>MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
PDF Settings—>MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
QIP Infium 9.20—>C:Program FilesQIP InfiumUninstall.exe
Realtek AC’97 Audio—>Alcrmv.exe -r -m
Regshot—>C:Program FilesRegshotUninstall.exe
Right Click Image Converter—>»C:Program FilesKristanixRight Click Image Converteruninstall.exe»
Smart Install Maker 5.02—>C:Program FilesSmart Install MakerUninstall.exe
Snagit 9.1—>MsiExec.exe /I{0E6ED660-498C-42F7-9EF4-FB0C96DFC01A}
Sun xVM VirtualBox—>MsiExec.exe /I{59B60A02-7A8B-47EF-850F-D8645B62C4B1}
TeamViewer 4 4.0.5459—>C:Program FilesTeamViewer 4Uninstall.exe
The KMPlayer 2.9.4.1434—>C:Program FilesThe KMPlayerUninstall.exe
Total Commander7.04a—>C:Program FilesTotal CommanderUninstall.exe
Trials 2—>MsiExec.exe /I{E4FF6799-9D72-4940-A75A-6B54628062E7}
UltraISO Premium (only 32bit) v9.3.2.2656—>»C:Program FilesUltraISOunins000.exe»
Uninstall Tool 2.6.3.4081—>»C:Program FilesUninstall Toolunins000.exe»
Unlocker—>C:Program FilesUnlockeruninst.exe
uTorrent 1.8.1 b12639 —>»C:Program FilesuTorrentuninstall.exe» uTorrent
Vista Drive Icon—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFVistaDrv.inf,Uninstall
Winamp—>C:Program FilesWinampUninstall.exe
Windows Driver Package — Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)—>C:PROGRA~1DIFXD6ACC4BE676423A2B130B78A4B627FC457D98997dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccswpddri_039E7E24575DBAE6A389611AF28F4EB97729D33Epccswpddriver.inf
Windows Driver Package — Nokia Modem (02/15/2007 3.1)—>C:PROGRA~1DIFXD6ACC4BE676423A2B130B78A4B627FC457D98997dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293Bpccs_bluetooth.inf
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Волшебные пузыри—>D:GamesПузыриAlawar.ruВолшебные пузыриuninstal.exe
Данные ДубльГИС г.Барнаул 01.05.2009—>MsiExec.exe /X{33EDF75E-1E64-432A-B4B0-366F15C60835}
ДубльГИС 3.0.4.2—>MsiExec.exe /X{EBF56A8E-3483-4704-98B8-7685891F8EA7}
Пакет драйверов Windows — Nokia Modem (11/03/2006 6.82.0.1)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokbtmdm_4EFFAAE27A08EDFDE145390033D8EF099DA65567nokbtmdm.inf
Пакет обеспечения совместимости для выпуска 2007 системы Microsoft Office—>MsiExec.exe /X{90120000-0020-0419-0000-0000000FF1CE}
Центр обновлений ДубльГИС—>MsiExec.exe /X{2FB165EB-69C0-416D-9B4E-E805ABC8CB1F}======Security center information======
AV: Kaspersky Internet Security
FW: Kaspersky Internet Security======System event log======
Computer Name: MICROSOF-E139D3
Event Code: 7036
Message: Служба «Совместимость быстрого переключения пользователей» перешла в состояние Работает.Record Number: 10102
Source Name: Service Control Manager
Time Written: 20090522110623.000000+420
Event Type: информация
User:Computer Name: MICROSOF-E139D3
Event Code: 7035
Message: Служба «Совместимость быстрого переключения пользователей» успешно отправила управляющий элемент «запустить».Record Number: 10101
Source Name: Service Control Manager
Time Written: 20090522110623.000000+420
Event Type: информация
User: NT AUTHORITYSYSTEMComputer Name: MICROSOF-E139D3
Event Code: 7036
Message: Служба «Службы терминалов» перешла в состояние Работает.Record Number: 10100
Source Name: Service Control Manager
Time Written: 20090522110623.000000+420
Event Type: информация
User:Computer Name: MICROSOF-E139D3
Event Code: 6005
Message: Запущена служба журнала событий.Record Number: 10099
Source Name: EventLog
Time Written: 20090522110439.000000+420
Event Type: информация
User:Computer Name: MICROSOF-E139D3
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.Record Number: 10098
Source Name: EventLog
Time Written: 20090522110439.000000+420
Event Type: информация
User:=====Application event log=====
Computer Name: MICROSOF-E139D3
Event Code: 1042
Message: Завершение транзакции установщика Windows: C:Documents and SettingsAll UsersApplication DataInstallations{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}InstallationsNokia_Connectivity_Cable_DriverNokia_Connectivity_Cable_Driver.msi. ИД клиентского процесса: 2088.Record Number: 516
Source Name: MsiInstaller
Time Written: 20090223210228.000000+360
Event Type: информация
User: NT AUTHORITYSYSTEMComputer Name: MICROSOF-E139D3
Event Code: 1033
Message: Установщик Windows выполнил установку продукта. Продукт: Nokia Connectivity Cable Driver. Версия: 6.83.9.0. Язык: 2057. Установка завершена с состоянием: 0.Record Number: 515
Source Name: MsiInstaller
Time Written: 20090223210228.000000+360
Event Type: информация
User: MICROSOF-E139D3AdminComputer Name: MICROSOF-E139D3
Event Code: 11707
Message: Product: Nokia Connectivity Cable Driver — Installation operation completed successfully.Record Number: 514
Source Name: MsiInstaller
Time Written: 20090223210228.000000+360
Event Type: информация
User: MICROSOF-E139D3AdminComputer Name: MICROSOF-E139D3
Event Code: 1040
Message: Начата транзакция установщика Windows: C:Documents and SettingsAll UsersApplication DataInstallations{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}InstallationsNokia_Connectivity_Cable_DriverNokia_Connectivity_Cable_Driver.msi. ИД клиентского процесса: 2088.Record Number: 513
Source Name: MsiInstaller
Time Written: 20090223210146.000000+360
Event Type: информация
User: MICROSOF-E139D3AdminComputer Name: MICROSOF-E139D3
Event Code: 0
Message:
Record Number: 512
Source Name: 2GIS UpdateClientService
Time Written: 20090223173226.000000+360
Event Type: информация
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=C:Program FilesPC Connectivity Solution;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 4 Stepping 10, AuthenticAMD
«PROCESSOR_REVISION»=040a
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
EOF
Здравствуйте, добро пожаловать на Spyware-ru форум.
так как ни одноко драйвера с TDSS там не нашлось 🙁 .
Последние версии TDSSserv трояна уже нельзя обнаружить через диспетчер устройств.
Для начала нужно решить проблему с открытие дисков (результат активности autorun.inf трояна).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ.Здравствуйте, Valeri.
Произвел все рекомендуемые Вами операции. Flash_Disinfector, Avenger. Все прошло нормально.
Вставляю log, почемуто он состоит на половину из кубиков, и я позволил себе их удолить (что получилось ниже)Исправленый:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.Backups directory opened successfully at C:Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver «gxvxcserv.sys» found!
ImagePath: systemrootsystem32driversgxvxcehvmxwkeocqhkqnkvoewfytercltdwmi.sys
Start Type: 1 (System)Rootkit scan completed.
Completed script processing.
*******************
Finished! Terminate.
P.S.
После перезагрузки перестал автоматически запускаться Punto Switcher(прога для управления языковой панелью)
Avenger показал наличие трояна.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:Drivers to delete:
gxvxcserv.sys
Files to delete:
%windir%system32driversgxvxcehvmxwkeocqhkqnkvoewfytercltdwmi.sysКликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, пожалуйста вставьте его в ваш ответ. И ещё приложите свежий RSIT лог (только log.txt).Здравствуйте, Валерий.
Выполнил рекомендуемые Вами действия.Вот, опять исправленный мной, документ avenger. оригинал прикреплен ниже
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.Backups directory opened successfully at C:Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver «gxvxcserv.sys» found!
ImagePath: systemrootsystem32driversgxvxcehvmxwkeocqhkqnkvoewfytercltdwmi.sys
Start Type: 4 (Disabled)Rootkit scan completed.
Driver «gxvxcserv.sys» deleted successfully.
File «C:WINDOWSsystem32driversgxvxcehvmxwkeocqhkqnkvoewfytercltdwmi.sys» deleted successfully.Completed script processing.
*******************
Finished! Terminate.
А это новый log.txt
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Admin at 2009-06-04 10:16:00
Microsoft Windows XP Professional Service Pack 3
System drive C: has 3 GB (27%) free of 11 GB
Total RAM: 511 MB (49% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16:06, on 04.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32RUNDLL32.EXE
D:DistrUpdateClientWin32UpdateClientService.exe
D:DistrUpdateClientWin32UpdateClientUI.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:Program FilesPunto Switcherpunto.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32nvsvc32.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINDOWSexplorer.exe
C:Documents and SettingsAdminРабочий столRSIT.exe
C:Program Filestrend microAdmin.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = ftp://ftp.ealtai.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = ftp://ealtai.ru/
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — D:AltGTU NekitProgram123456Mradllnewmrasearch.dll
F2 — REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe
O2 — BHO: SnagIt Toolbar Loader — {00C6482D-C502-44C8-8409-FCE54AD9C208} — C:Program FilesTechSmithSnagit 9SnagitBHO.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: Snagit — {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [2gis update client UI] «D:DistrUpdateClientWin32UpdateClientUI.exe» -minimized
O4 — HKLM..Run: [PCSuiteTrayApplication] D:DistrNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 — HKLM..Run: [CyberMania] C:Program FilesESETCyberMania.exe
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherpunto.exe
O4 — HKCU..Run: [MAgent] D:AltGTU NekitProgram123456magent.exe -CU
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Global Startup: AutoCAD Startup Accelerator.lnk = C:Program FilesCommon FilesAutodesk Sharedacstart16.exe
O4 — Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O17 — HKLMSystemCCSServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS1ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCS2ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 — HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O23 — Service: 2GIS UpdateClientService — ДубльГИС — D:DistrUpdateClientWin32UpdateClientService.exe
O23 — Service: Autodesk Licensing Service — Autodesk, Inc. — C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe
O23 — Service: ESET HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: ESET Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 9333 bytes======Scheduled tasks folder======
C:WINDOWStasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00C6482D-C502-44C8-8409-FCE54AD9C208}]
SnagIt Toolbar Loader — C:Program FilesTechSmithSnagit 9SnagitBHO.dll [2008-11-06 68936][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll [2003-11-04 54248][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper — C:Program FilesJavajre6binssv.dll [2009-02-08 320920][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-02-08 34816][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll [2009-02-08 73728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — Snagit — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll [2008-11-06 211272][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2007-04-17 577536]
«NvCplDaemon»=C:WINDOWSsystem32NvCpl.dll [2008-10-07 13574144]
«nwiz»=nwiz.exe /install []
«NvMediaCenter»=C:WINDOWSsystem32NvMcTray.dll [2008-10-07 86016]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2006-01-12 155648]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-02-09 5598392]
«2gis update client UI»=D:DistrUpdateClientWin32UpdateClientUI.exe [2008-09-17 4055040]
«PCSuiteTrayApplication»=D:DistrNokiaNokia PC Suite 6LaunchApplication.exe [2007-03-23 227328]
«CyberMania»=C:Program FilesESETCyberMania.exe [2008-09-23 326823]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2009-04-09 2029640][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=C:Program FilesVistaDriveIconVistaDrv.exe [2008-01-02 132096]
«Punto Switcher»=C:Program FilesPunto Switcherpunto.exe [2008-10-30 734504]
«MAgent»=D:AltGTU NekitProgram123456magent.exe [2009-04-05 6210744]C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
AutoCAD Startup Accelerator.lnk — C:Program FilesCommon FilesAutodesk Sharedacstart16.exe
Microsoft Office.lnk — C:Program FilesMicrosoft OfficeOffice10OSA.EXE[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2008-03-02 133632][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1
«NoDriveAutoRun»=FFFFFFFF[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{239107d4-032d-11de-a4d5-001485c2c8e4}]
shellAutoRuncommand — mccnxc.exe
shellexplorecommand — mccnxc.exe
shellopencommand — mccnxc.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a3f2a112-fbf8-11dd-a4b4-001485c2c8e4}]
shellAutoRuncommand — I:RECYCLEDBINok.exe
shellopencommand — I:RECYCLEDBINok.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{afb184e7-f600-11dd-a49a-001485c2c8e4}]
shellAutoRuncommand — G:RECYCLEDBINok.exe
shellopencommand — G:RECYCLEDBINok.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{db706e39-4a87-11de-a5c0-001485c2c8e4}]
shellAutoRuncommand — G:rwnihr.exe
shellexplorecommand — G:rwnihr.exe
shellopencommand — G:rwnihr.exe======File associations======
.js — edit — «C:Program FilesMacromediaDreamweaver 8dreamweaver.exe» «%1»
.scr — open — «C:WINDOWSnotepad.exe» «%1»
.scr — install —
.scr — config —======List of files/folders created in the last 1 months======
2009-06-04 10:01:39 —-A—- C:avenger.txt
2009-06-03 16:28:45 —-D—- C:Documents and SettingsAll UsersApplication DataESET
2009-06-03 16:28:42 —-D—- C:Program FilesESET
2009-06-02 12:00:19 —-RSHD—- C:SETUP
2009-05-31 14:40:18 —-D—- C:Program FilesAutodesk
2009-05-31 14:38:24 —-D—- C:Program FilesAnswerWorks 4.0
2009-05-31 14:36:34 —-D—- C:Program FilesCommon FilesAutodesk Shared
2009-05-31 14:36:34 —-D—- C:Documents and SettingsAll UsersApplication DataAutodesk
2009-05-31 14:36:34 —-D—- C:Documents and SettingsAdminApplication DataAutodesk
2009-05-31 12:04:52 —-A—- C:WINDOWSd8k6p6r1o3e6.exe
2009-05-31 12:04:07 —-A—- C:WINDOWSs3a4a74y8.exe
2009-05-31 10:21:32 —-RSHD—- C:RECYCLED
2009-05-31 10:18:15 —-RASHD—- C:autorun.inf
2009-05-31 10:16:34 —-RSHD—- C:RESTORE
2009-05-28 23:36:57 —-D—- C:Program Filestrend micro
2009-05-28 23:36:56 —-D—- C:rsit
2009-05-28 23:04:43 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-05-28 23:04:43 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-05-28 22:50:03 —-D—- C:Avenger
2009-05-27 23:27:25 —-A—- C:WINDOWSsystem32gxvxctloxustuygiahkmdckfxmvmkfcsxbqik.dll
2009-05-27 23:27:25 —-A—- C:WINDOWSsystem32gxvxcatnpxlvpgfksaordqaqbwbbtynpankuh.dll
2009-05-24 12:02:10 —-D—- C:Documents and SettingsAll UsersApplication DataCabela’s® Big Game Hunter III Saves
2009-05-21 12:14:34 —-D—- C:Program FilesReflexiveArcade
2009-05-16 23:12:05 —-D—- C:Documents and SettingsAll UsersApplication DataFLEXnet======List of files/folders modified in the last 1 months======
2009-06-04 10:15:47 —-A—- C:WINDOWSsystem32akelpad.ini
2009-06-04 10:03:38 —-D—- C:WINDOWS
2009-06-04 10:01:40 —-D—- C:WINDOWSsystem32drivers
2009-06-04 10:01:40 —-AD—- C:Program Files
2009-06-04 10:00:41 —-A—- C:WINDOWSSchedLgU.Txt
2009-06-03 20:47:05 —-D—- C:Documents and SettingsAdminApplication DatauTorrent
2009-06-03 16:33:29 —-SHD—- C:WINDOWSInstaller
2009-06-03 16:29:09 —-HD—- C:WINDOWSinf
2009-06-03 16:28:51 —-D—- C:WINDOWSsystem32CatRoot2
2009-06-03 16:22:24 —-AD—- C:WINDOWSsystem32
2009-06-03 15:16:37 —-A—- C:WINDOWSNeroDigital.ini
2009-06-03 12:51:21 —-D—- C:Program FilesMozilla Firefox
2009-05-31 14:40:15 —-D—- C:WINDOWSWinSxS
2009-05-31 14:37:50 —-RSD—- C:WINDOWSFonts
2009-05-31 14:37:11 —-D—- C:WINDOWSHelp
2009-05-31 14:36:34 —-AD—- C:Program FilesCommon Files
2009-05-30 17:44:18 —-D—- C:WINDOWSTemp
2009-05-28 21:49:24 —-SHD—- C:RECYCLER
2009-05-28 21:23:33 —-SD—- C:WINDOWSTasks
2009-05-28 12:22:01 —-D—- C:WINDOWSsystem32CatRoot
2009-05-27 22:53:51 —-D—- C:Documents and SettingsAll UsersApplication DataAlawarWrapper
2009-05-16 23:13:09 —-D—- C:Documents and SettingsAdminApplication DataAdobe
2009-05-12 21:41:42 —-SD—- C:Documents and SettingsAdminApplication DataMicrosoft======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-04-09 107256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2009-04-09 94360]
R1 VBoxDrv;VirtualBox Service; C:WINDOWSsystem32DRIVERSVBoxDrv.sys [2008-12-17 100368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver; C:WINDOWSsystem32DRIVERSVBoxUSBMon.sys [2008-12-17 41680]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-04-09 113960]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2008-01-25 4127488]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2008-10-07 6133856]
R3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:WINDOWSsystem32DRIVERSnvefd2k.sys [2007-07-12 42112]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2008-04-15 17152]
R3 VBoxNetFlt;VBoxNetFlt Service; C:WINDOWSsystem32DRIVERSVBoxNetFlt.sys [2008-12-17 81360]
S3 amatdkrm;amatdkrm; C:WINDOWSsystem32driversamatdkrm.sys []
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversnmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:WINDOWSsystem32driversnmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:WINDOWSsystem32driversnmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:WINDOWSsystem32driversnmwcdcm.sys [2007-02-22 12288]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-14 26368]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2008-04-15 12032]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 2GIS UpdateClientService;2GIS UpdateClientService; D:DistrUpdateClientWin32UpdateClientService.exe [2008-09-17 1134592]
R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-04-09 731840]
R2 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2009-02-08 152984]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe [2001-02-23 270336]
R2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe [2008-10-07 163908]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
R3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2007-03-26 292864]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe [2009-05-31 74360]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-04-09 20680]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe [2009-02-08 654848]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-19 913408]
EOF
P.S.
По поводу автозапуска PUNTO Swicher все пришло в норму, наверно это был единовременный глюк.
А вот при загрузки как то странно включается и отключается панель задач и окна Windows, а программы не отключаются. И длится это примерно минуты 3. Еще во всех моих браузерах (IE, Firefix, Opera) «глючит» переход по ссылкам из google: первый переход по каждой ссылки осуществляется на одни и теже сайты(их гдето 4 штуки) в основном порнографического содержания.
И еще я поставил новый НОД может, он хотя бы запускается в отличае от КИС.Avenger удалил основную часть трояна, но нужно ещё немного поработать.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend microAdmin.exeи нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe
O17 - HKLMSystemCCSServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS1ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS2ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{239107d4-032d-11de-a4d5-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a3f2a112-fbf8-11dd-a4b4-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{afb184e7-f600-11dd-a49a-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{db706e39-4a87-11de-a5c0-001485c2c8e4}]
:files
C:WINDOWSs3a4a74y8.exe
C:WINDOWSsystem32gxvxctloxustuygiahkmdckfxmvmkfcsxbqik.dll
C:WINDOWSsystem32gxvxcatnpxlvpgfksaordqaqbwbbtynpankuh.dll
C:WINDOWStasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (только log.txt). Так же сообщите как работает ваш компьютер.
Здравствуйте, Валерий, выполнил рекомендуемые Вами действия.
Внешние проявления вируса не видны. Перескакивания с ссылок в IE Firefox и Опере прекратились.
Но на флешки есть папка не удаляемая НОДом RECYCLED, а на жестком диске(не локальном (винчестер «разбит» на две части)) есть папка RECYCLER. На локальном диске есть они обе. Может они нужны или они раньше там были я незнаю 🙁
P.S.
После выполнения операций с HijackThis и перезагрузки, перестали загружаться странички — оказалось сбились настройки потключения, носле настройки все стало загружаться.
Далее логи.========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{239107d4-032d-11de-a4d5-001485c2c8e4}\ deleted successfully.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a3f2a112-fbf8-11dd-a4b4-001485c2c8e4}\ deleted successfully.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{afb184e7-f600-11dd-a49a-001485c2c8e4}\ deleted successfully.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{db706e39-4a87-11de-a5c0-001485c2c8e4}\ deleted successfully.
========== FILES ==========
C:WINDOWSs3a4a74y8.exe moved successfully.
File/Folder C:WINDOWSsystem32gxvxctloxustuygiahkmdckfxmvmkfcsxbqik.dll not found.
File/Folder C:WINDOWSsystem32gxvxcatnpxlvpgfksaordqaqbwbbtynpankuh.dll not found.
C:WINDOWStasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job moved successfully.
========== COMMANDS ==========
User’s Temp folder emptied.
User’s Internet Explorer cache folder emptied.
File delete failed. C:Documents and SettingsAdminLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be deleted on reboot.
User’s Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:WINDOWStempPerflib_Perfdata_5bc.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfullyOTMoveIt3 by OldTimer — Version 1.0.11.0 log created on 06072009_200521
Files moved on Reboot…
File C:WINDOWStempPerflib_Perfdata_5bc.dat not found!Logfile of random’s system information tool 1.06 (written by random/random)
Run by Admin at 2009-06-07 20:07:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 4 GB (37%) free of 11 GB
Total RAM: 511 MB (45% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:49, on 07.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSnotepad.exe
C:WINDOWSsystem32notepad.exe
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32RUNDLL32.EXE
D:DistrUpdateClientWin32UpdateClientService.exe
D:DistrUpdateClientWin32UpdateClientUI.exe
D:DistrNokiaNokia PC Suite 6LaunchApplication.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:Program FilesPunto Switcherpunto.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:WINDOWSsystem32nvsvc32.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:Documents and SettingsAdminРабочий столRSIT.exe
C:Program Filestrend microAdmin.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = ftp://ftp.ealtai.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = ftp://ealtai.ru/
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — D:AltGTU NekitProgram123456Mradllnewmrasearch.dll
O2 — BHO: SnagIt Toolbar Loader — {00C6482D-C502-44C8-8409-FCE54AD9C208} — C:Program FilesTechSmithSnagit 9SnagitBHO.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: Snagit — {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [2gis update client UI] «D:DistrUpdateClientWin32UpdateClientUI.exe» -minimized
O4 — HKLM..Run: [PCSuiteTrayApplication] D:DistrNokiaNokia PC Suite 6LaunchApplication.exe -startup
O4 — HKLM..Run: [CyberMania] C:Program FilesESETCyberMania.exe
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherpunto.exe
O4 — HKCU..Run: [MAgent] D:AltGTU NekitProgram123456magent.exe -CU
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Global Startup: AutoCAD Startup Accelerator.lnk = C:Program FilesCommon FilesAutodesk Sharedacstart16.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~1OFFICE11EXCEL.EXE/3000
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~1OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:AltGTU NekitProgram123456magent.exe (HKCU)
O23 — Service: 2GIS UpdateClientService — ДубльГИС — D:DistrUpdateClientWin32UpdateClientService.exe
O23 — Service: Autodesk Licensing Service — Autodesk, Inc. — C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe
O23 — Service: ESET HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: ESET Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 8718 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{00C6482D-C502-44C8-8409-FCE54AD9C208}]
SnagIt Toolbar Loader — C:Program FilesTechSmithSnagit 9SnagitBHO.dll [2008-11-06 68936][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll [2003-11-04 54248][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper — C:Program FilesJavajre6binssv.dll [2009-02-08 320920][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-02-08 34816][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll [2009-02-08 73728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — Snagit — C:Program FilesTechSmithSnagit 9SnagitIEAddin.dll [2008-11-06 211272][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SoundMan»=C:WINDOWSSOUNDMAN.EXE [2007-04-17 577536]
«NvCplDaemon»=C:WINDOWSsystem32NvCpl.dll [2008-10-07 13574144]
«nwiz»=nwiz.exe /install []
«NvMediaCenter»=C:WINDOWSsystem32NvMcTray.dll [2008-10-07 86016]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2006-01-12 155648]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-02-09 5598392]
«2gis update client UI»=D:DistrUpdateClientWin32UpdateClientUI.exe [2008-09-17 4055040]
«PCSuiteTrayApplication»=D:DistrNokiaNokia PC Suite 6LaunchApplication.exe [2007-03-23 227328]
«CyberMania»=C:Program FilesESETCyberMania.exe [2008-09-23 326823]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2009-04-09 2029640][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=C:Program FilesVistaDriveIconVistaDrv.exe [2008-01-02 132096]
«Punto Switcher»=C:Program FilesPunto Switcherpunto.exe [2008-10-30 734504]
«MAgent»=D:AltGTU NekitProgram123456magent.exe [2009-04-05 6210744]C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
AutoCAD Startup Accelerator.lnk — C:Program FilesCommon FilesAutodesk Sharedacstart16.exe[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2008-03-02 133632][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1
«NoDriveAutoRun»=FFFFFFFF[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f93c29ce-f80b-11dd-a4a6-001485c2c8e4}]
shellAutoRuncommand — G:SETUPDATAJune.exe
shellopencommand — G:SETUPDATAJune.exe======File associations======
.js — edit — «C:Program FilesMacromediaDreamweaver 8dreamweaver.exe» «%1»
.scr — open — «C:WINDOWSnotepad.exe» «%1»
.scr — install —
.scr — config —======List of files/folders created in the last 1 months======
2009-06-07 20:05:21 —-D—- C:_OTMoveIt
2009-06-07 14:58:50 —-A—- C:WINDOWSsystem32wmv8dmod.dll
2009-06-06 17:35:32 —-A—- C:WINDOWSIsUninstR.Exe
2009-06-04 14:44:13 —-A—- C:WINDOWSo8h4k9t7r4t9.exe
2009-06-04 14:43:48 —-A—- C:WINDOWSd4s2i79m3.exe
2009-06-04 12:06:45 —-A—- C:WINDOWSsystem32mdimon.dll
2009-06-04 12:04:14 —-D—- C:Program FilesMicrosoft Visual Studio
2009-06-04 10:01:39 —-A—- C:avenger.txt
2009-06-03 16:28:45 —-D—- C:Documents and SettingsAll UsersApplication DataESET
2009-06-03 16:28:42 —-D—- C:Program FilesESET
2009-06-02 12:00:19 —-RSHD—- C:SETUP
2009-05-31 14:40:18 —-D—- C:Program FilesAutodesk
2009-05-31 14:38:24 —-D—- C:Program FilesAnswerWorks 4.0
2009-05-31 14:36:34 —-D—- C:Program FilesCommon FilesAutodesk Shared
2009-05-31 14:36:34 —-D—- C:Documents and SettingsAll UsersApplication DataAutodesk
2009-05-31 14:36:34 —-D—- C:Documents and SettingsAdminApplication DataAutodesk
2009-05-31 10:21:32 —-RSHD—- C:RECYCLED
2009-05-31 10:18:15 —-RASHD—- C:autorun.inf
2009-05-31 10:16:34 —-RSHD—- C:RESTORE
2009-05-28 23:36:57 —-D—- C:Program Filestrend micro
2009-05-28 23:36:56 —-D—- C:rsit
2009-05-28 23:04:43 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-05-28 23:04:43 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-05-28 22:50:03 —-D—- C:Avenger
2009-05-24 12:02:10 —-D—- C:Documents and SettingsAll UsersApplication DataCabela’s® Big Game Hunter III Saves
2009-05-21 12:14:34 —-D—- C:Program FilesReflexiveArcade
2009-05-16 23:12:05 —-D—- C:Documents and SettingsAll UsersApplication DataFLEXnet======List of files/folders modified in the last 1 months======
2009-06-07 20:07:37 —-D—- C:WINDOWSsystem32CatRoot2
2009-06-07 20:07:10 —-D—- C:WINDOWS
2009-06-07 20:06:03 —-A—- C:WINDOWSSchedLgU.Txt
2009-06-07 20:05:42 —-D—- C:WINDOWSTemp
2009-06-07 20:05:21 —-SD—- C:WINDOWSTasks
2009-06-07 20:04:33 —-A—- C:WINDOWSsystem32akelpad.ini
2009-06-07 19:57:36 —-D—- C:Program FilesMozilla Firefox
2009-06-07 19:47:16 —-A—- C:WINDOWSNeroDigital.ini
2009-06-07 17:21:54 —-D—- C:Documents and SettingsAdminApplication DatauTorrent
2009-06-07 14:58:51 —-HD—- C:WINDOWSinf
2009-06-07 14:58:51 —-AD—- C:WINDOWSsystem32
2009-06-07 14:51:23 —-HD—- C:Program FilesInstallShield Installation Information
2009-06-07 13:49:57 —-D—- C:Program FilesCommon FilesInstallShield
2009-06-07 12:05:50 —-A—- C:WINDOWSUpdateClientUI.INI
2009-06-07 12:04:22 —-SHD—- C:WINDOWSInstaller
2009-06-05 14:18:16 —-D—- C:Documents and SettingsAll UsersApplication DataAdobe
2009-06-04 12:10:19 —-RSD—- C:WINDOWSassembly
2009-06-04 12:09:55 —-A—- C:WINDOWSwin.ini
2009-06-04 12:09:02 —-D—- C:Program FilesMicrosoft Works
2009-06-04 12:08:53 —-RSD—- C:WINDOWSFonts
2009-06-04 12:08:30 —-AD—- C:Program FilesCommon FilesMicrosoft Shared
2009-06-04 12:06:48 —-A—- C:WINDOWSODBC.INI
2009-06-04 12:05:08 —-D—- C:WINDOWSSHELLNEW
2009-06-04 12:04:24 —-D—- C:Program FilesMicrosoft Office
2009-06-04 12:04:23 —-D—- C:Program FilesCommon FilesDESIGNER
2009-06-04 12:04:14 —-AD—- C:Program Files
2009-06-04 12:04:07 —-D—- C:Program FilesCommon FilesSystem
2009-06-04 12:04:00 —-D—- C:WINDOWSHelp
2009-06-04 12:02:34 —-D—- C:WINDOWSsystem
2009-06-04 10:01:40 —-D—- C:WINDOWSsystem32drivers
2009-05-31 14:40:15 —-D—- C:WINDOWSWinSxS
2009-05-31 14:36:35 —-SD—- C:WINDOWSDownloaded Program Files
2009-05-31 14:36:34 —-AD—- C:Program FilesCommon Files
2009-05-28 21:49:24 —-SHD—- C:RECYCLER
2009-05-28 12:22:01 —-D—- C:WINDOWSsystem32CatRoot
2009-05-27 22:53:51 —-D—- C:Documents and SettingsAll UsersApplication DataAlawarWrapper
2009-05-16 23:13:09 —-D—- C:Documents and SettingsAdminApplication DataAdobe
2009-05-12 21:41:42 —-SD—- C:Documents and SettingsAdminApplication DataMicrosoft======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-04-09 107256]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2009-04-09 94360]
R1 VBoxDrv;VirtualBox Service; C:WINDOWSsystem32DRIVERSVBoxDrv.sys [2008-12-17 100368]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver; C:WINDOWSsystem32DRIVERSVBoxUSBMon.sys [2008-12-17 41680]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-04-09 113960]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-10-11 62848]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2008-01-25 4127488]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2008-10-07 6133856]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2008-04-15 17152]
R3 VBoxNetFlt;VBoxNetFlt Service; C:WINDOWSsystem32DRIVERSVBoxNetFlt.sys [2008-12-17 81360]
S3 aqooezk3;aqooezk3; C:WINDOWSsystem32driversaqooezk3.sys []
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversnmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:WINDOWSsystem32driversnmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:WINDOWSsystem32driversnmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:WINDOWSsystem32driversnmwcdcm.sys [2007-02-22 12288]
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:WINDOWSsystem32DRIVERSnvefd2k.sys [2007-07-12 42112]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-14 26368]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2008-04-15 12032]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 2GIS UpdateClientService;2GIS UpdateClientService; D:DistrUpdateClientWin32UpdateClientService.exe [2008-09-17 1134592]
R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-04-09 731840]
R2 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2009-02-08 152984]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe [2003-06-19 322120]
R2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe [2008-10-07 163908]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
R3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2007-03-26 292864]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 Autodesk Licensing Service;Autodesk Licensing Service; C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe [2009-05-31 74360]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-04-09 20680]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe [2009-02-08 654848]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-19 913408]
EOF
Лог выглядит нормально.
Стандартная папка для корзины это Recycler. Так что вторую можете удалить.Несколько завершающих действий.
1. Обновите ваши программы.
Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.Зайдите на сайт update.microsoft.com и обновите Windows.
2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите HijackThis и RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.3. Подойдите к защите вашего компьютера более серьёзно.
Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить использовать только Оперу или Firefox.
4. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
