- This topic has 34 ответа, 2 участника, and was last updated 16 years, 4 months назад by
.
-
Сообщения
-
Здравствуйте Valeri. Вот результат проверки ComboFix.
ComboFix 09-04-01.01 — Айк 2009-04-02 20:27:41.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.311 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столmyapp.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:autorun.inf
C:nideiect.com
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll
D:Autorun.inf
D:nideiect.com
D:ntde1ect.com.
((((((((((((((((((((((((( Files Created from 2009-03-02 to 2009-04-02 )))))))))))))))))))))))))))))))
.2009-03-31 15:08 . 2004-08-17 16:04 159,232 —a
c:windowssystem32ptpusd.dll
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a
c:windowssystem32driversusbscan.sys
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a—c— c:windowssystem32dllcacheusbscan.sys
2009-03-31 15:08 . 2001-10-19 21:06 5,632 —a
c:windowssystem32ptpusb.dll
2009-03-31 11:30 . 2009-03-31 11:30 3,218 —a
c:windowssystem32PerfStringBackup.TMP
2009-03-24 20:08 . 2009-03-24 20:08d
c:documents and settingsАйкApplication DataNokia
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 19:59 . 2009-03-24 20:00d
c:windowsDownloaded Installations
2009-03-24 19:58 . 2009-03-24 19:58d
c:program filesDIFX
2009-03-24 19:57 . 2009-03-24 19:58d—-c— c:windowssystem32DRVSTORE
2009-03-24 19:57 . 2009-03-24 20:00d
c:program filesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesPCSuite
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 19:57 . 2009-03-24 19:57d
c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsАйкApplication DataPC Suite
2009-03-24 19:57 . 2006-05-29 09:26 127,488 —a
c:windowssystem32driversnmwcd.sys
2009-03-24 19:57 . 2006-05-29 09:26 50,688 —a
c:windowssystem32nmwcdcls.dll
2009-03-24 19:57 . 2006-05-29 09:26 30,720 —a
c:windowssystem32nmwcdcocls.dll
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcm.sys
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcj.sys
2009-03-24 19:57 . 2006-05-29 09:26 8,704 —a
c:windowssystem32driversnmwcdc.sys
2009-03-24 19:57 . 2006-05-29 09:26 4,608 —a
c:windowssystem32nmwcdlog.dll
2009-03-21 14:17 . 2009-03-21 14:19d
c:documents and settingsАйкApplication DataLuntik
2009-03-21 14:16 . 2009-03-24 22:22d
c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-03-21 14:15 . 2009-03-21 14:15d
c:program filesGames.Mail.Ru
2009-03-17 21:02 . 2009-03-21 19:35d
c:program filesBararan Program
2009-03-17 21:02 . 2009-03-17 21:02d
C:ArmDicto
2009-03-17 21:02 . 1999-03-09 11:50 557,328 —a
c:windowssystem32Dao360.dll
2009-03-17 21:02 . 1999-05-07 01:00 209,408 —a
c:windowssystem32Tabctl32.ocx
2009-03-17 21:02 . 2009-03-17 21:02 115 —a
c:windowsdictionary.ini
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 1997-08-26 13:06 344,576 —a
c:windowsIsUninst.exe
2009-03-02 21:56 . 2009-03-02 22:06 116 —a
c:windowsNeroDigital.ini
2009-03-02 16:39 . 2009-03-02 21:47 10 —a
c:windowspopcinfo.dat
2009-03-02 13:01 . 2009-04-02 20:32 5,477 —a
c:windowssystem32driversoluenh.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-31 07:36
d
w c:program filestrend micro
2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15
d
w c:program filesNero
2009-03-01 12:15
d
w c:program filesCommon FilesAhead
2009-03-01 11:49
d
w c:program filesAhead
2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49
d
w c:program filesPinnacle
2009-02-21 16:48
d—h—w c:program filesInstallShield Installation Information
2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07
d
w c:program filesAutoCAD 2007
2009-02-18 15:06
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 17:23
d
w c:program filesmicrosoft frontpage
.
Sigcheck
2004-09-17 15:16 503808 a975a70fcefe2a224412214320c89ded c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«PcSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2006-06-27 1478656][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 364544]
«PCSuiteTrayApplication»=»c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE» [2006-06-15 258048][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-03-05 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Documents and Settings\Айк\Мои документы\Самоучитель AutoCAD\WinDjView-0.5.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=R4 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [2009-03-02 5477]
S3 abp470n5;abp470n5;??c:windowssystem32driversptgpr.sys —> c:windowssystem32driversptgpr.sys [?][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{897f4a06-03e6-11de-b61a-c60ebc8a56be}]
ShellAuToPLAycomMANd — F:igsqe.cmd
ShellAutoRuncommand — F:igsqe.cmd
ShelleXpLorecoMManD — F:igsqe.cmd
ShellOpeNCommAnd — F:igsqe.cmd
.
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: {E976EFF6-F957-41A8-91CF-232E00032C25} = 212.73.65.40 217.113.0.8
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-02 20:32:23
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
.
**************************************************************************
.
Completion time: 2009-04-02 20:35:55 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-02 16:35:51Pre-Run: 11 892 961 280 байт свободно
Post-Run: 11,984,519,168 байт свободно179
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
NdisFileServices32
abp470n5
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{897f4a06-03e6-11de-b61a-c60ebc8a56be}]
File::
c:windowssystem32driversptgpr.sys
c:windowssystem32driversoluenh.sys
F:igsqe.cmdЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Вот Log.txt
ComboFix 09-04-04.01 — Айк 2009-04-06 15:38:20.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.308 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
Command switches used :: c:documents and settingsАйкРабочий столCFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32driversoluenh.sys
c:windowssystem32driversptgpr.sys
F:igsqe.cmd
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32driversoluenh.sys
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll
F:autorun.inf
F:cvch.pif
F:igsqe.cmd
F:stevgi.pif.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_ABP470N5
Legacy_NDISFILESERVICES32
Service_abp470n5
Service_NdisFileServices32((((((((((((((((((((((((( Files Created from 2009-03-06 to 2009-04-06 )))))))))))))))))))))))))))))))
.2009-03-31 15:08 . 2004-08-17 16:04 159,232 —a
c:windowssystem32ptpusd.dll
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a
c:windowssystem32driversusbscan.sys
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a—c— c:windowssystem32dllcacheusbscan.sys
2009-03-31 15:08 . 2001-10-19 21:06 5,632 —a
c:windowssystem32ptpusb.dll
2009-03-31 11:30 . 2009-03-31 11:30 3,218 —a
c:windowssystem32PerfStringBackup.TMP
2009-03-24 20:08 . 2009-03-24 20:08d
c:documents and settingsАйкApplication DataNokia
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 19:59 . 2009-03-24 20:00d
c:windowsDownloaded Installations
2009-03-24 19:58 . 2009-03-24 19:58d
c:program filesDIFX
2009-03-24 19:57 . 2009-03-24 19:58d—-c— c:windowssystem32DRVSTORE
2009-03-24 19:57 . 2009-03-24 20:00d
c:program filesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesPCSuite
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 19:57 . 2009-03-24 19:57d
c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsАйкApplication DataPC Suite
2009-03-24 19:57 . 2006-05-29 09:26 127,488 —a
c:windowssystem32driversnmwcd.sys
2009-03-24 19:57 . 2006-05-29 09:26 50,688 —a
c:windowssystem32nmwcdcls.dll
2009-03-24 19:57 . 2006-05-29 09:26 30,720 —a
c:windowssystem32nmwcdcocls.dll
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcm.sys
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcj.sys
2009-03-24 19:57 . 2006-05-29 09:26 8,704 —a
c:windowssystem32driversnmwcdc.sys
2009-03-24 19:57 . 2006-05-29 09:26 4,608 —a
c:windowssystem32nmwcdlog.dll
2009-03-21 14:17 . 2009-03-21 14:19d
c:documents and settingsАйкApplication DataLuntik
2009-03-21 14:16 . 2009-03-24 22:22d
c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-03-21 14:15 . 2009-03-21 14:15d
c:program filesGames.Mail.Ru
2009-03-17 21:02 . 2009-03-21 19:35d
c:program filesBararan Program
2009-03-17 21:02 . 2009-03-17 21:02d
C:ArmDicto
2009-03-17 21:02 . 1999-03-09 11:50 557,328 —a
c:windowssystem32Dao360.dll
2009-03-17 21:02 . 1999-05-07 01:00 209,408 —a
c:windowssystem32Tabctl32.ocx
2009-03-17 21:02 . 2009-03-17 21:02 115 —a
c:windowsdictionary.ini
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 1997-08-26 13:06 344,576 —a
c:windowsIsUninst.exe.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 11:43 5,477 —-a-w c:windowssystem32driversoluenh.sys
2009-03-31 07:36
d
w c:program filestrend micro
2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15
d
w c:program filesNero
2009-03-01 12:15
d
w c:program filesCommon FilesAhead
2009-03-01 11:49
d
w c:program filesAhead
2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49
d
w c:program filesPinnacle
2009-02-21 16:48
d—h—w c:program filesInstallShield Installation Information
2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07
d
w c:program filesAutoCAD 2007
2009-02-18 15:06
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 17:23
d
w c:program filesmicrosoft frontpage
.
Sigcheck
2004-09-17 15:16 503808 a975a70fcefe2a224412214320c89ded c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-02_20.34.00.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 16:02:28 163,328 —-a-w c:windowsERDNTsubsERDNT.EXE
— 2000-08-31 04:00:00 89,504 —-a-w c:windowsfdsv.exe
+ 2000-08-31 04:00:00 114,688 —-a-w c:windowsfdsv.exe
— 2000-08-31 04:00:00 80,412 —-a-w c:windowsgrep.exe
+ 2000-08-31 04:00:00 109,056 —-a-w c:windowsgrep.exe
— 2000-08-31 04:00:00 98,816 —-a-w c:windowssed.exe
+ 2000-08-31 04:00:00 127,488 —-a-w c:windowssed.exe
— 2000-08-31 04:00:00 136,704 —-a-w c:windowsSWSC.exe
+ 2000-08-31 04:00:00 165,376 —-a-w c:windowsSWSC.exe
— 2000-08-31 04:00:00 212,480 —-a-w c:windowsSWXCACLS.exe
+ 2000-08-31 04:00:00 241,152 —-a-w c:windowsSWXCACLS.exe
— 2000-08-31 04:00:00 49,152 —-a-w c:windowsVFIND.exe
+ 2000-08-31 04:00:00 77,824 —-a-w c:windowsVFIND.exe
— 2000-08-31 04:00:00 68,096 —-a-w c:windowszip.exe
+ 2000-08-31 04:00:00 96,768 —-a-w c:windowszip.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«PcSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2006-06-27 1478656][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 364544]
«PCSuiteTrayApplication»=»c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE» [2006-06-15 258048][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-03-05 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Documents and Settings\Айк\Мои документы\Самоучитель AutoCAD\WinDjView-0.5.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\WINDOWS\system32\CF16559.exe»=
«c:\ComboFix\NirCmdC.cfexe»=— Other Services/Drivers In Memory —
*NewlyCreated* — NDISFILESERVICES32
.
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: {E976EFF6-F957-41A8-91CF-232E00032C25} = 212.73.65.40 217.113.0.8
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 15:42:44
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
.
**************************************************************************
.
Completion time: 2009-04-06 15:45:59 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-06 11:45:55
ComboFix2.txt 2009-04-02 16:35:57Pre-Run: 11 438 526 464 байт свободно
Post-Run: 11,184,611,328 байт свободно209
Судя по логу драйвер трояна мы удалили.
Нужно ещё немного подчистит реестр.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:Registry::
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"DisableTaskMgr"=0
"DisableRegistryTools"= 0
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusDisableNotify"=dword:0
"UpdatesDisableNotify"=dword:0
"AntiVirusOverride"=dword:0
"FirewallOverride"=dword:0
"UacDisableNotify"=dword:0
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
"DisableMonitoring"=dword:0
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
"AntiVirusOverride"=dword:0
"AntiVirusDisableNotify"=dword:0
"FirewallDisableNotify"=dword:0
"FirewallOverride"=dword:0
"UpdatesDisableNotify"=dword:0
"UacDisableNotify"=dword:0
File::
c:windowssystem32driversoluenh.sysЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Вот результат последней проверки.
ComboFix 09-04-04.01 — Айк 2009-04-09 13:01:12.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.289 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
Command switches used :: c:documents and settingsАйкРабочий столCFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32driversoluenh.sys
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32driversoluenh.sys
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll
F:autorun.inf
F:npidwi.pif.
((((((((((((((((((((((((( Files Created from 2009-03-09 to 2009-04-09 )))))))))))))))))))))))))))))))
.2009-03-31 15:08 . 2004-08-17 16:04 159,232 —a
c:windowssystem32ptpusd.dll
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a
c:windowssystem32driversusbscan.sys
2009-03-31 15:08 . 2004-08-03 22:58 15,104 —a—c— c:windowssystem32dllcacheusbscan.sys
2009-03-31 15:08 . 2001-10-19 21:06 5,632 —a
c:windowssystem32ptpusb.dll
2009-03-31 11:30 . 2009-03-31 11:30 3,218 —a
c:windowssystem32PerfStringBackup.TMP
2009-03-24 20:08 . 2009-03-24 20:08d
c:documents and settingsАйкApplication DataNokia
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 20:04 . 2009-03-25 01:26d
c:documents and settingsАйкPhone Browser
2009-03-24 19:59 . 2009-03-24 20:00d
c:windowsDownloaded Installations
2009-03-24 19:58 . 2009-03-24 19:58d
c:program filesDIFX
2009-03-24 19:57 . 2009-03-24 19:58d—-c— c:windowssystem32DRVSTORE
2009-03-24 19:57 . 2009-03-24 20:00d
c:program filesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesPCSuite
2009-03-24 19:57 . 2009-03-24 19:58d
c:program filesCommon FilesNokia
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 19:57 . 2009-03-24 19:57d
c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-24 19:57 . 2009-03-24 19:58d
c:documents and settingsАйкApplication DataPC Suite
2009-03-24 19:57 . 2006-05-29 09:26 127,488 —a
c:windowssystem32driversnmwcd.sys
2009-03-24 19:57 . 2006-05-29 09:26 50,688 —a
c:windowssystem32nmwcdcls.dll
2009-03-24 19:57 . 2006-05-29 09:26 30,720 —a
c:windowssystem32nmwcdcocls.dll
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcm.sys
2009-03-24 19:57 . 2006-05-29 09:26 13,312 —a
c:windowssystem32driversnmwcdcj.sys
2009-03-24 19:57 . 2006-05-29 09:26 8,704 —a
c:windowssystem32driversnmwcdc.sys
2009-03-24 19:57 . 2006-05-29 09:26 4,608 —a
c:windowssystem32nmwcdlog.dll
2009-03-21 14:17 . 2009-03-21 14:19d
c:documents and settingsАйкApplication DataLuntik
2009-03-21 14:16 . 2009-03-24 22:22d
c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-03-21 14:15 . 2009-03-21 14:15d
c:program filesGames.Mail.Ru
2009-03-17 21:02 . 2009-03-21 19:35d
c:program filesBararan Program
2009-03-17 21:02 . 2009-03-17 21:02d
C:ArmDicto
2009-03-17 21:02 . 1999-03-09 11:50 557,328 —a
c:windowssystem32Dao360.dll
2009-03-17 21:02 . 1999-05-07 01:00 209,408 —a
c:windowssystem32Tabctl32.ocx
2009-03-17 21:02 . 2009-03-17 21:02 115 —a
c:windowsdictionary.ini
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 2009-03-17 21:01d
c:documents and settingsАйкWINDOWS
2009-03-17 21:01 . 1997-08-26 13:06 344,576 —a
c:windowsIsUninst.exe.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-09 09:05 5,477 —-a-w c:windowssystem32driversoluenh.sys
2009-03-31 07:36
d
w c:program filestrend micro
2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15
d
w c:program filesNero
2009-03-01 12:15
d
w c:program filesCommon FilesAhead
2009-03-01 11:49
d
w c:program filesAhead
2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49
d
w c:program filesPinnacle
2009-02-21 16:48
d—h—w c:program filesInstallShield Installation Information
2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07
d
w c:program filesAutoCAD 2007
2009-02-18 15:06
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 17:23
d
w c:program filesmicrosoft frontpage
.
Sigcheck
2004-09-17 15:16 503808 a975a70fcefe2a224412214320c89ded c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-02_20.34.00.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 16:02:28 192,000 —-a-w c:windowsERDNTsubsERDNT.EXE
— 2000-08-31 04:00:00 89,504 —-a-w c:windowsfdsv.exe
+ 2000-08-31 04:00:00 114,688 —-a-w c:windowsfdsv.exe
— 2000-08-31 04:00:00 80,412 —-a-w c:windowsgrep.exe
+ 2000-08-31 04:00:00 109,056 —-a-w c:windowsgrep.exe
— 2000-08-31 04:00:00 98,816 —-a-w c:windowssed.exe
+ 2000-08-31 04:00:00 127,488 —-a-w c:windowssed.exe
— 2000-08-31 04:00:00 136,704 —-a-w c:windowsSWSC.exe
+ 2000-08-31 04:00:00 165,376 —-a-w c:windowsSWSC.exe
— 2000-08-31 04:00:00 212,480 —-a-w c:windowsSWXCACLS.exe
+ 2000-08-31 04:00:00 241,152 —-a-w c:windowsSWXCACLS.exe
— 2000-08-31 04:00:00 49,152 —-a-w c:windowsVFIND.exe
+ 2000-08-31 04:00:00 77,824 —-a-w c:windowsVFIND.exe
— 2000-08-31 04:00:00 68,096 —-a-w c:windowszip.exe
+ 2000-08-31 04:00:00 96,768 —-a-w c:windowszip.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«PcSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2006-06-27 1478656][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 364544]
«PCSuiteTrayApplication»=»c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE» [2006-06-15 258048][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-03-05 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=R2 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [2009-04-09 5477]
S3 abp470n5;abp470n5;??c:windowssystem32driversptgpr.sys —> c:windowssystem32driversptgpr.sys [?]
.
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-09 13:05:22
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
.
**************************************************************************
.
Completion time: 2009-04-09 13:08:27 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-09 09:08:24
ComboFix2.txt 2009-04-06 11:46:02
ComboFix3.txt 2009-04-02 16:35:57Pre-Run: 12 530 536 448 байт свободно
Post-Run: 12,494,643,200 байт свободно182
После этого я проверил компьютер и кажется все неполадки исправились.
Valeri можно сказать что мы уже окончательно победили вирус и обрадоваться этой победой, или пока преждевременно????Судя по логу, радоваться ещё рано.
Каким-то образом троян снова прописал свои драйвера.Удалим их снова.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
NdisFileServices32
abp470n5
File::
c:windowssystem32driversoluenh.sys
c:windowssystem32driversptgpr.sysЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Перезагрузите компьютер. Оставьте включённым на несколько часов (можно на ночь).
Перезагрузите снова.
Запустите Combofix. Получившийся лог так же вставьте в этот топик.Этим мы проверим восстановление трояна.
Здравствуйте Valeri. Да вы правы, рано еще праздновать победу.
😥 Вот результат первой проверки ComboFix.exeComboFix 09-04-19.01 — Айк 19.04.2009 2:26.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.265 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
Command switches used :: c:documents and settingsАйкРабочий столCFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32driversoluenh.sys
c:windowssystem32driversptgpr.sys
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32driversoluenh.sys
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_ABP470N5
Legacy_NDISFILESERVICES32
Service_abp470n5
Service_NdisFileServices32((((((((((((((((((((((((( Files Created from 2009-03-18 to 2009-04-18 )))))))))))))))))))))))))))))))
.2009-04-18 22:32 . 2009-04-18 22:32 5477 —-a-w c:windowssystem32driversoluenh.sys
2009-03-31 11:08 . 2001-10-19 17:06 5632 —-a-w c:windowssystem32ptpusb.dll
2009-03-31 11:08 . 2004-08-17 12:04 159232 —-a-w c:windowssystem32ptpusd.dll
2009-03-31 11:08 . 2004-08-03 18:58 15104 -c—a-w c:windowssystem32dllcacheusbscan.sys
2009-03-31 11:08 . 2004-08-03 18:58 15104 —-a-w c:windowssystem32driversusbscan.sys
2009-03-31 07:30 . 2009-03-31 07:30 3218 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-03-24 16:08 . 2009-03-24 16:08
d
w c:documents and settingsАйкApplication DataNokia
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 15:59 . 2009-03-24 16:00
d
w c:windowsDownloaded Installations
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsАйкApplication DataPC Suite
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcm.sys
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcj.sys
2009-03-24 15:57 . 2006-05-29 05:26 8704 —-a-w c:windowssystem32driversnmwcdc.sys
2009-03-24 15:57 . 2009-03-24 15:58
dc—-w c:windowssystem32DRVSTORE
2009-03-24 15:57 . 2006-05-29 05:26 127488 —-a-w c:windowssystem32driversnmwcd.sys
2009-03-24 15:57 . 2006-05-29 05:26 50688 —-a-w c:windowssystem32nmwcdcls.dll
2009-03-24 15:57 . 2006-05-29 05:26 30720 —-a-w c:windowssystem32nmwcdcocls.dll
2009-03-24 15:57 . 2006-05-29 05:26 4608 —-a-w c:windowssystem32nmwcdlog.dll
2009-03-24 15:57 . 2009-03-24 15:57
d
w c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-21 10:17 . 2009-03-21 10:19
d
w c:documents and settingsАйкApplication DataLuntik
2009-03-21 10:16 . 2009-03-24 18:22
d
w c:documents and settingsAll UsersApplication DataAlawarWrapper.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-09 09:29 . 2009-04-09 09:29
d
w c:program filesOpera
2009-03-31 07:36 . 2009-02-26 11:53
d
w c:program filestrend micro
2009-03-31 07:35 . 2009-03-31 07:35 3020 —-a-w C:avenger.txt
2009-03-31 07:30 . 2001-10-20 11:00 70658 —-a-w c:windowssystem32perfc019.dat
2009-03-31 07:30 . 2001-10-20 11:00 433468 —-a-w c:windowssystem32perfh019.dat
2009-03-24 16:00 . 2009-03-24 15:57
d
w c:program filesNokia
2009-03-24 15:58 . 2009-03-24 15:58
d
w c:program filesDIFX
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesNokia
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesPCSuite
2009-03-21 15:35 . 2009-03-17 17:02
d
w c:program filesBararan Program
2009-03-21 10:15 . 2009-03-21 10:15
d
w c:program filesGames.Mail.Ru
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-01 12:16 . 2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15 . 2009-02-18 17:49
d
w c:program filesCommon FilesAhead
2009-03-01 12:15 . 2009-03-01 12:15
d
w c:program filesNero
2009-03-01 11:49 . 2009-02-17 18:32
d
w c:program filesAhead
2009-02-27 12:38 . 2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46 . 2009-02-21 13:59
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51 . 2009-02-22 12:46
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47 . 2009-02-18 17:56
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56 . 2009-02-21 16:45
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49 . 2009-02-21 16:45
d
w c:program filesPinnacle
2009-02-21 16:48 . 2009-02-18 17:57
d—h—w c:program filesInstallShield Installation Information
2009-02-19 22:11 . 2009-02-18 18:49 44992 —ha-w C:_NavCClt.Log
2009-02-19 15:24 . 2009-02-19 15:23 1663 —-a-w C:Setup.wis
2009-02-19 15:24 . 2009-02-19 15:23 1246773 —-a-w C:Data1.cab
2009-02-19 15:24 . 2009-02-18 18:49 3678 —-a-w C:PkgClnup.log
2009-02-18 18:44 . 2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43 . 2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58 . 2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57 . 2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21 . 2009-02-18 15:04
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10 . 2009-02-18 15:04
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07 . 2009-02-18 15:04
d
w c:program filesAutoCAD 2007
2009-02-18 15:06 . 2009-02-18 15:00
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06 . 2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00 . 2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 19:24 . 2009-02-17 17:21 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-17 17:15 . 2009-02-17 17:15 22564 —-a-w c:windowssystem32emptyregdb.dat
2005-04-19 15:2009-04-09 09:29 25:30 . c:program filesoperaprogrampluginsPlugDef.dll
.
Sigcheck
[-] 2004-09-17 11:16 503808 A975A70FCEFE2A224412214320C89DED c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-3-5 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=— Other Services/Drivers In Memory —
*NewlyCreated* — NDISFILESERVICES32
.
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 02:32
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(3784)
c:windowssystem32msi.dll
.
Other Running Processes
.
c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE
c:program filesCommon FilesAheadLibNMBgMonitor.exe
c:program filesNokiaNokia PC Suite 6PcSync2.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
.
**************************************************************************
.
Completion time: 2009-04-18 2:35 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-18 22:35
ComboFix2.txt 2009-04-09 09:08
ComboFix3.txt 2009-04-06 11:46
ComboFix4.txt 2009-04-02 16:35Pre-Run: 12 376 862 720 байт свободно
Post-Run: 12 388 249 600 байт свободно189
Сделал как вы написали, после этого перезагрузил компьютер и оставил включенным на ночь, утром опять перезагрузил и запустил ComboFix.exe. Вот результат
ComboFix 09-04-19.01 — Айк 19.04.2009 11:39.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.331 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll.
((((((((((((((((((((((((( Files Created from 2009-03-19 to 2009-04-19 )))))))))))))))))))))))))))))))
.2009-04-19 07:36 . 2009-04-19 07:36
d
w C:Отчет
2009-04-18 22:32 . 2009-04-19 07:45 5477 —-a-w c:windowssystem32driversoluenh.sys
2009-04-18 11:32 . 2009-04-18 11:32
d-sha-r C:autorun.inf
2009-03-31 11:08 . 2001-10-19 17:06 5632 —-a-w c:windowssystem32ptpusb.dll
2009-03-31 11:08 . 2004-08-17 12:04 159232 —-a-w c:windowssystem32ptpusd.dll
2009-03-31 11:08 . 2004-08-03 18:58 15104 -c—a-w c:windowssystem32dllcacheusbscan.sys
2009-03-31 11:08 . 2004-08-03 18:58 15104 —-a-w c:windowssystem32driversusbscan.sys
2009-03-31 07:30 . 2009-03-31 07:30 3218 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-03-24 16:08 . 2009-03-24 16:08
d
w c:documents and settingsАйкApplication DataNokia
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 15:59 . 2009-03-24 16:00
d
w c:windowsDownloaded Installations
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsАйкApplication DataPC Suite
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcm.sys
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcj.sys
2009-03-24 15:57 . 2006-05-29 05:26 8704 —-a-w c:windowssystem32driversnmwcdc.sys
2009-03-24 15:57 . 2009-03-24 15:58
dc—-w c:windowssystem32DRVSTORE
2009-03-24 15:57 . 2006-05-29 05:26 127488 —-a-w c:windowssystem32driversnmwcd.sys
2009-03-24 15:57 . 2006-05-29 05:26 50688 —-a-w c:windowssystem32nmwcdcls.dll
2009-03-24 15:57 . 2006-05-29 05:26 30720 —-a-w c:windowssystem32nmwcdcocls.dll
2009-03-24 15:57 . 2006-05-29 05:26 4608 —-a-w c:windowssystem32nmwcdlog.dll
2009-03-24 15:57 . 2009-03-24 15:57
d
w c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-21 10:17 . 2009-03-21 10:19
d
w c:documents and settingsАйкApplication DataLuntik
2009-03-21 10:16 . 2009-03-24 18:22
d
w c:documents and settingsAll UsersApplication DataAlawarWrapper.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-09 09:29 . 2009-04-09 09:29
d
w c:program filesOpera
2009-03-31 07:36 . 2009-02-26 11:53
d
w c:program filestrend micro
2009-03-31 07:35 . 2009-03-31 07:35 3020 —-a-w C:avenger.txt
2009-03-31 07:30 . 2001-10-20 11:00 70658 —-a-w c:windowssystem32perfc019.dat
2009-03-31 07:30 . 2001-10-20 11:00 433468 —-a-w c:windowssystem32perfh019.dat
2009-03-24 16:00 . 2009-03-24 15:57
d
w c:program filesNokia
2009-03-24 15:58 . 2009-03-24 15:58
d
w c:program filesDIFX
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesNokia
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesPCSuite
2009-03-21 15:35 . 2009-03-17 17:02
d
w c:program filesBararan Program
2009-03-21 10:15 . 2009-03-21 10:15
d
w c:program filesGames.Mail.Ru
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-01 12:16 . 2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15 . 2009-02-18 17:49
d
w c:program filesCommon FilesAhead
2009-03-01 12:15 . 2009-03-01 12:15
d
w c:program filesNero
2009-03-01 11:49 . 2009-02-17 18:32
d
w c:program filesAhead
2009-02-27 12:38 . 2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46 . 2009-02-21 13:59
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51 . 2009-02-22 12:46
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47 . 2009-02-18 17:56
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56 . 2009-02-21 16:45
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49 . 2009-02-21 16:45
d
w c:program filesPinnacle
2009-02-21 16:48 . 2009-02-18 17:57
d—h—w c:program filesInstallShield Installation Information
2009-02-19 22:11 . 2009-02-18 18:49 44992 —ha-w C:_NavCClt.Log
2009-02-19 15:24 . 2009-02-19 15:23 1663 —-a-w C:Setup.wis
2009-02-19 15:24 . 2009-02-19 15:23 1246773 —-a-w C:Data1.cab
2009-02-19 15:24 . 2009-02-18 18:49 3678 —-a-w C:PkgClnup.log
2009-02-18 18:44 . 2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43 . 2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58 . 2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57 . 2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21 . 2009-02-18 15:04
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10 . 2009-02-18 15:04
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07 . 2009-02-18 15:04
d
w c:program filesAutoCAD 2007
2009-02-18 15:06 . 2009-02-18 15:00
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06 . 2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00 . 2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 19:24 . 2009-02-17 17:21 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-17 17:15 . 2009-02-17 17:15 22564 —-a-w c:windowssystem32emptyregdb.dat
2005-04-19 15:2009-04-09 09:29 25:30 . c:program filesoperaprogrampluginsPlugDef.dll
.
Sigcheck
[-] 2004-09-17 11:16 503808 A975A70FCEFE2A224412214320C89DED c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«PcSync»=»c:program filesNokiaNokia PC Suite 6PcSync2.exe» [2006-06-27 1478656][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 364544][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-3-5 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=R3 abp470n5;abp470n5; [x]
S2 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [2009-04-19 5477].
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 11:45
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(1492)
c:windowssystem32msi.dll
.
Other Running Processes
.
c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
.
**************************************************************************
.
Completion time: 2009-04-19 11:48 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-19 07:48
ComboFix2.txt 2009-04-18 22:35
ComboFix3.txt 2009-04-09 09:08
ComboFix4.txt 2009-04-06 11:46
ComboFix5.txt 2009-04-19 07:39Pre-Run: 12 508 913 664 байт свободно
Post-Run: 12 435 763 200 байт свободно180
И для надежности через 5 минут опять перезагрузил компьютер и проверил его с помощью ComboFix.exe еще раз.
Вот результат последней проверки.ComboFix 09-04-19.01 — Айк 19.04.2009 11:52.6 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.326 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll.
((((((((((((((((((((((((( Files Created from 2009-03-19 to 2009-04-19 )))))))))))))))))))))))))))))))
.2009-04-19 07:36 . 2009-04-19 07:49
d
w C:Отчет
2009-04-18 22:32 . 2009-04-19 08:23 5477 —-a-w c:windowssystem32driversoluenh.sys
2009-04-18 11:32 . 2009-04-18 11:32
d-sha-r C:autorun.inf
2009-03-31 11:08 . 2001-10-19 17:06 5632 —-a-w c:windowssystem32ptpusb.dll
2009-03-31 11:08 . 2004-08-17 12:04 159232 —-a-w c:windowssystem32ptpusd.dll
2009-03-31 11:08 . 2004-08-03 18:58 15104 -c—a-w c:windowssystem32dllcacheusbscan.sys
2009-03-31 11:08 . 2004-08-03 18:58 15104 —-a-w c:windowssystem32driversusbscan.sys
2009-03-31 07:30 . 2009-03-31 07:30 3218 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-03-24 16:08 . 2009-03-24 16:08
d
w c:documents and settingsАйкApplication DataNokia
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 16:04 . 2009-03-24 21:26
d
w c:documents and settingsАйкPhone Browser
2009-03-24 15:59 . 2009-03-24 16:00
d
w c:windowsDownloaded Installations
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsАйкApplication DataPC Suite
2009-03-24 15:57 . 2009-03-24 15:58
d
w c:documents and settingsAll UsersApplication DataPC Suite
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcm.sys
2009-03-24 15:57 . 2006-05-29 05:26 13312 —-a-w c:windowssystem32driversnmwcdcj.sys
2009-03-24 15:57 . 2006-05-29 05:26 8704 —-a-w c:windowssystem32driversnmwcdc.sys
2009-03-24 15:57 . 2009-03-24 15:58
dc—-w c:windowssystem32DRVSTORE
2009-03-24 15:57 . 2006-05-29 05:26 127488 —-a-w c:windowssystem32driversnmwcd.sys
2009-03-24 15:57 . 2006-05-29 05:26 50688 —-a-w c:windowssystem32nmwcdcls.dll
2009-03-24 15:57 . 2006-05-29 05:26 30720 —-a-w c:windowssystem32nmwcdcocls.dll
2009-03-24 15:57 . 2006-05-29 05:26 4608 —-a-w c:windowssystem32nmwcdlog.dll
2009-03-24 15:57 . 2009-03-24 15:57
d
w c:documents and settingsAll UsersApplication DataDownloaded Installations
2009-03-21 10:17 . 2009-03-21 10:19
d
w c:documents and settingsАйкApplication DataLuntik
2009-03-21 10:16 . 2009-03-24 18:22
d
w c:documents and settingsAll UsersApplication DataAlawarWrapper.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-09 09:29 . 2009-04-09 09:29
d
w c:program filesOpera
2009-03-31 07:36 . 2009-02-26 11:53
d
w c:program filestrend micro
2009-03-31 07:35 . 2009-03-31 07:35 3020 —-a-w C:avenger.txt
2009-03-31 07:30 . 2001-10-20 11:00 70658 —-a-w c:windowssystem32perfc019.dat
2009-03-31 07:30 . 2001-10-20 11:00 433468 —-a-w c:windowssystem32perfh019.dat
2009-03-24 16:00 . 2009-03-24 15:57
d
w c:program filesNokia
2009-03-24 15:58 . 2009-03-24 15:58
d
w c:program filesDIFX
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesNokia
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesPCSuite
2009-03-21 15:35 . 2009-03-17 17:02
d
w c:program filesBararan Program
2009-03-21 10:15 . 2009-03-21 10:15
d
w c:program filesGames.Mail.Ru
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-17 18:17 . 2009-02-18 15:10 254208 —-a-w c:documents and settingsАйкLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-03-01 12:16 . 2009-03-01 12:16
d
w c:documents and settingsАйкApplication DataAhead
2009-03-01 12:15 . 2009-02-18 17:49
d
w c:program filesCommon FilesAhead
2009-03-01 12:15 . 2009-03-01 12:15
d
w c:program filesNero
2009-03-01 11:49 . 2009-02-17 18:32
d
w c:program filesAhead
2009-02-27 12:38 . 2009-02-27 12:38
d
w c:program filesArmenian NLS
2009-02-24 14:46 . 2009-02-21 13:59
d
w c:documents and settingsАйкApplication DataCyberLink
2009-02-22 12:51 . 2009-02-22 12:46
d
w c:documents and settingsAll UsersApplication DataSymantec
2009-02-22 12:47 . 2009-02-18 17:56
d
w c:program filesCommon FilesInstallShield
2009-02-21 16:56 . 2009-02-21 16:45
d
w c:documents and settingsAll UsersApplication DataPinnacle
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:program filesSmartSound Software
2009-02-21 16:53 . 2009-02-21 16:53
d
w c:documents and settingsAll UsersApplication DataSmartSound Software Inc
2009-02-21 16:49 . 2009-02-21 16:45
d
w c:program filesPinnacle
2009-02-21 16:48 . 2009-02-18 17:57
d—h—w c:program filesInstallShield Installation Information
2009-02-19 22:11 . 2009-02-18 18:49 44992 —ha-w C:_NavCClt.Log
2009-02-19 15:24 . 2009-02-19 15:23 1663 —-a-w C:Setup.wis
2009-02-19 15:24 . 2009-02-19 15:23 1246773 —-a-w C:Data1.cab
2009-02-19 15:24 . 2009-02-18 18:49 3678 —-a-w C:PkgClnup.log
2009-02-18 18:44 . 2009-02-18 18:44
d
w c:documents and settingsАйкApplication DataAdobeUM
2009-02-18 18:43 . 2009-02-18 18:43
d
w c:program filesCommon FilesAdobe
2009-02-18 17:58 . 2009-02-18 17:58
d
w c:documents and settingsAll UsersApplication DataCyberLink
2009-02-18 17:57 . 2009-02-18 17:57
d
w c:program filesCyberLink
2009-02-18 15:21 . 2009-02-18 15:04
d
w c:documents and settingsАйкApplication DataAutodesk
2009-02-18 15:10 . 2009-02-18 15:04
d
w c:documents and settingsAll UsersApplication DataAutodesk
2009-02-18 15:07 . 2009-02-18 15:04
d
w c:program filesAutoCAD 2007
2009-02-18 15:06 . 2009-02-18 15:00
d
w c:program filesCommon FilesAutodesk Shared
2009-02-18 15:06 . 2009-02-18 15:06
d
w c:program filesAnswerWorks 4.0
2009-02-18 15:00 . 2009-02-18 15:00
d
w c:program filesAutodesk
2009-02-17 19:24 . 2009-02-17 17:21 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-17 17:15 . 2009-02-17 17:15 22564 —-a-w c:windowssystem32emptyregdb.dat
2005-04-19 15:2009-04-09 09:29 25:30 . c:program filesoperaprogrampluginsPlugDef.dll
.
Sigcheck
[-] 2004-09-17 11:16 503808 A975A70FCEFE2A224412214320C89DED c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-18_22.32.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-19 08:22 . 2009-04-19 08:22 16384 c:windowstempPerflib_Perfdata_4d4.dat
+ 2009-04-19 07:51 . 2009-04-19 07:51 16384 c:windowstempPerflib_Perfdata_2ec.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-3-5 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=
«c:\WINDOWS\system32\CF3072.exe»=S2 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [2009-04-19 5477]
S3 abp470n5;abp470n5; [x].
.
Supplementary Scan
.
uStart Page = http://www.apeha.ru
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-19 12:22
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(2608)
c:windowssystem32msi.dll
.
Other Running Processes
.
c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE
c:program filesCommon FilesAheadLibNMBgMonitor.exe
c:program filesNokiaNokia PC Suite 6PcSync2.exe
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
.
**************************************************************************
.
Completion time: 2009-04-19 12:47 — machine was rebooted
ComboFix-quarantined-files.txt 2009-04-19 08:47
ComboFix2.txt 2009-04-19 07:48
ComboFix3.txt 2009-04-18 22:35
ComboFix4.txt 2009-04-09 09:08
ComboFix5.txt 2009-04-19 07:52Pre-Run: 12 375 068 672 байт свободно
Post-Run: 12 219 314 176 байт свободно186
S2 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [2009-04-19 5477]
S3 abp470n5;abp470n5; [x]Вижу драйвера опять восстановились.
Поэтому наиболее вероятно, что заражён или подменён какой-то системный файл.
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.Ссылка http://www.kaspersky.ru/virusscanner не открывается.
Попробовал открыть http://www.kaspersky.ru но тоже не открывается.
В чем причина?Видимо троян блокирует.
Скачайте RootkitRevealer кликнув по этой ссылке и распакуйте файл в папку, например C:RootkitRevealer.
Отключите соединение с Интернетом и ваш антивирус.
Запустите RootkitRevealer.
Когда программа запустится кликните по кнопке Scan.
Когда сканирование закончится, кликните File->Save и сохраните лог на ваш рабочий стол.
Закройте RootkitRevealer.Жду от вас RootkitRevealer лог.
RootkitRevealer лог
HKU.DEFAULTControl PanelInternational 09.04.2009 13:08 0 bytes Security mismatch.
HKU.DEFAULTControl PanelInternationalGeo 09.04.2009 13:08 0 bytes Security mismatch.
HKUS-1-5-21-1482476501-1336601894-1801674531-1003Control PanelInternational 09.04.2009 13:08 0 bytes Security mismatch.
HKUS-1-5-21-1482476501-1336601894-1801674531-1003Control PanelInternationalGeo 09.04.2009 13:08 0 bytes Security mismatch.
HKUS-1-5-18Control PanelInternational 09.04.2009 13:08 0 bytes Security mismatch.
HKUS-1-5-18Control PanelInternationalGeo 09.04.2009 13:08 0 bytes Security mismatch.
HKLMSECURITYPolicySecretsSAC* 17.02.2009 21:39 0 bytes Key name contains embedded nulls (*)
HKLMSECURITYPolicySecretsSAI* 17.02.2009 21:39 0 bytes Key name contains embedded nulls (*)
HKLMSOFTWAREMicrosoftCryptographyRNGSeed 25.04.2009 0:34 80 bytes Data mismatch between Windows API and raw hive data.Получившийся лог вставьте в ваш ответ.
Valeri опять не получается.
Скачал drweb-cureit.exe (13,1 Mb)и стал запускать программу но она начинает распаковаться с помощью WinRAR и выдает ошибку, что архив поврежден, файл поврежден. Но несмотря на это setup.exe появляется. И когда я запускаю setup, программа открывается, но появляется окошко с надписью — Cannot load engine, и когда нажимаю на OK, программа закрывается. Пробовал скачать программу 2 раза, но результат один тот же.
В чем проблема? Что делать?Возможно вирус так же блокирует загрузку или запуск DrWeb CureIt.
Попробуйте скачать эту утилиту: http://avptool.virusinfo.info/
Просканируйте компьютер. Вылечите всё что она найдет.
По-окончании сканирования, кликните по кнопке Отчёты и сохраните лог на ваш рабочий стол.Получившийся лог вставьте в ваш ответ (если он будет большой, то присоедините его к сообщению).
- Для ответа в этой теме необходимо авторизоваться.
