- This topic has 34 ответа, 2 участника, and was last updated 16 years, 4 months назад by
.
-
Сообщения
-
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
NdisFileServices32
abp470n5
File::
c:windowssystem32driversoluenh.sys
c:windowssystem32driversptgpr.sysЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, запишите его на ваш рабочий стол.
Сразу после этого проверьте ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования запишите на рабочий стол.Перезапустите компьютер и просканируйте компьютер используя Combofix.
Жду от вас:
первый Combofix лог
результаты сканирования онлайн сканером
второй Combofix логЗдравствуйте Valeri. Сделал все по вашему указанию. Но проверить компьютер с помощью virusscanner опять не удается, http://www.kaspersky.ru/virusscanner ссылка просто не открывается.
Отправляю результат ComboFix.exeComboFix 09-05-06.05 — Айк 07.05.2009 13:12.7 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.289 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
Command switches used :: c:documents and settingsАйкРабочий столCFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32driversoluenh.sys
c:windowssystem32driversptgpr.sys
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowsIE4 Error Log.txt
c:windowssystem32driversoluenh.sys
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_ABP470N5
Legacy_NDISFILESERVICES32
Service_abp470n5
Service_NdisFileServices32((((((((((((((((((((((((( Files Created from 2009-04-07 to 2009-05-07 )))))))))))))))))))))))))))))))
.2009-05-07 09:17 . 2009-05-07 09:18 5477 —-a-w c:windowssystem32driversoluenh.sys
2009-05-05 22:00 . 2009-05-05 22:00
d
w c:program filesAlwil Software
2009-04-29 07:51 . 2009-04-29 07:51
d
w c:program filesElectronic Arts
2009-04-29 07:34 . 1998-01-23 08:55 333824 —-a-w c:windowsIsUn0419.exe
2009-04-29 07:21 . 2009-04-29 07:21
d
w c:windowsUSB Vibration
2009-04-29 07:21 . 2009-04-29 07:21
d
w c:program filesUSB Vibration Joystick
2009-04-29 07:18 . 2001-08-17 18:02 9600 -c—a-w c:windowssystem32dllcachehidusb.sys
2009-04-29 07:18 . 2001-08-17 18:02 9600 —-a-w c:windowssystem32drivershidusb.sys
2009-04-27 08:15 . 2009-04-27 09:43
d
w c:program filesDownload Master
2009-04-27 08:08 . 2009-05-06 08:02
d
w C:Downloads
2009-04-27 07:59 . 2009-05-07 09:15
d
w c:program filesFlashGet
2009-04-24 19:21 . 2009-04-24 20:34
d
w C:RootkitRevealer
2009-04-19 07:36 . 2009-04-19 07:49
d
w C:Отчет
2009-04-09 09:29 . 2009-04-09 09:29
d
w c:program filesOpera.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 07:21 . 2009-02-18 17:57
d—h—w c:program filesInstallShield Installation Information
2009-04-29 07:21 . 2009-02-18 17:56
d
w c:program filesCommon FilesInstallShield
2009-03-31 07:36 . 2009-02-26 11:53
d
w c:program filestrend micro
2009-03-31 07:30 . 2009-03-31 07:30 3218 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-03-31 07:30 . 2001-10-20 11:00 70658 —-a-w c:windowssystem32perfc019.dat
2009-03-31 07:30 . 2001-10-20 11:00 433468 —-a-w c:windowssystem32perfh019.dat
2009-03-24 16:00 . 2009-03-24 15:57
d
w c:program filesNokia
2009-03-24 15:58 . 2009-03-24 15:58
d
w c:program filesDIFX
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesNokia
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesPCSuite
2009-03-21 15:35 . 2009-03-17 17:02
d
w c:program filesBararan Program
2009-03-21 10:15 . 2009-03-21 10:15
d
w c:program filesGames.Mail.Ru
2009-03-02 17:47 . 2009-03-02 12:39 10 —-a-w c:windowspopcinfo.dat
2009-02-17 19:24 . 2009-02-17 17:21 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-17 17:21 . 2001-10-20 11:00 67 —sha-w c:windowsFontsdesktop.ini
2009-02-17 17:15 . 2009-02-17 17:15 22564 —-a-w c:windowssystem32emptyregdb.dat
2005-04-19 15:25 . 2009-04-09 09:29 53323 —-a-w c:program filesoperaprogrampluginsPlugDef.dll
.
Sigcheck
[-] 2004-09-17 11:16 503808 A975A70FCEFE2A224412214320C89DED c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-18_22.32.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-29 07:21 . 2006-01-20 05:56 30720 c:windowsUSB Vibration7906setreg64.exe
+ 2009-04-29 07:21 . 2006-01-20 05:06 86016 c:windowsUSB Vibration7906FCVAP32.dll
+ 2009-04-29 07:21 . 2006-01-20 04:48 65536 c:windowsUSB Vibration7906EZFRD32.dll
+ 2009-05-07 09:18 . 2009-05-07 09:18 16384 c:windowstempPerflib_Perfdata_5f8.dat
+ 2009-02-17 17:14 . 2001-10-20 11:00 19429 c:windowssystem32MsDtcTracemsdtcvtr.bat
+ 2009-04-29 07:21 . 2006-01-20 07:59 108032 c:windowsUSB Vibration7906FCVAP64.dll
+ 2009-04-29 07:21 . 2006-01-20 05:16 112640 c:windowsUSB Vibration7906EZFRD64.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-3-5 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\WINDOWS\system32\userinit.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=
«c:\Program Files\Opera\Opera.exe»=
«c:\Program Files\Common Files\Autodesk Shared\acstart17.exe»=
«c:\Downloads\Программы\NOR\555\333\launch.exe»=
«c:\Program Files\Download Master\dmaster.exe»=
«d:\ЛИЛИТ&АСМИК_xary\ИГРЫ\SuperJazz\Data\Jazz2.exe»=
«c:\WINDOWS\system32\WISPTIS.EXE»=— Other Services/Drivers In Memory —
*NewlyCreated* — NDISFILESERVICES32
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1c6c3d25-355c-11de-b684-b2d8fc2ca8b7}]
ShellAUtoPlaycOmmand — F:jpxgr.exe
ShellAutoRuncommand — F:jpxgr.exe
ShelleXPlorecOmMaND — F:jpxgr.exe
ShellOpeNcommanD — F:jpxgr.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{70b23c2a-18ba-11de-b64f-a7d04e3391b7}]
ShellAUtoPlaycOmmand — F:jpxgr.exe
ShellAutoRuncommand — F:jpxgr.exe
ShelleXPlorecOmMaND — F:jpxgr.exe
ShellOpeNcommanD — F:jpxgr.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{897f4a06-03e6-11de-b61a-c60ebc8a56be}]
sHellAuTOplAyCoMmAnd — F:dgsya.pif
sHellAutoRuncommand — F:dgsya.pif
sHellEXplOreCOmmand — F:dgsya.pif
sHellOPencommAND — F:dgsya.pif
.
.
Supplementary Scan
.
uStart Page = hxxp://www.mail.ru/
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать все при помощи FlashGet — c:program filesFlashGetjc_all.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Закачать при помощи FlashGet — c:program filesFlashGetjc_link.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-07 13:17
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(1584)
c:windowssystem32msi.dll
.
Other Running Processes
.
c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE
c:program filesCommon FilesAheadLibNMBgMonitor.exe
c:program filesNokiaNokia PC Suite 6PcSync2.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
.
**************************************************************************
.
Completion time: 2009-05-07 13:20 — machine was rebooted
ComboFix-quarantined-files.txt 2009-05-07 09:20
ComboFix2.txt 2009-04-19 08:47
ComboFix3.txt 2009-04-19 07:48
ComboFix4.txt 2009-04-18 22:35
ComboFix5.txt 2009-05-07 09:11Pre-Run: 11 007 315 968 байт свободно
Post-Run: 11 060 277 248 байт свободно189
Кликните Пуск -> Выполнить
В строке ввода введите notepad и нажмите Enter.
Вствавьте в блокнот следующий текст:dir winlogon.exe /a h /s > File.txtКликните Файл, Сохранить как.
Смените тип файла на: Все файлы.
Введите имя файла find_file.bat и кликните Ok.
Сохраните файл на ваш рабочий стол.
Закройте блокнот.
Дважды кликните по созданному нами файлу find_file.bat.
По-завершению работы на рабочем столе появится файл File.txt, вставьте его содержимое в ваш ответ.Кроме этого, откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1c6c3d25-355c-11de-b684-b2d8fc2ca8b7}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{70b23c2a-18ba-11de-b64f-a7d04e3391b7}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{897f4a06-03e6-11de-b61a-c60ebc8a56be}]Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его тоже вставьте в свой следующий ответ.File.txt
Том в устройстве C не имеет метки.
Серийный номер тома: 7880-FD44Содержимое папки C:WINDOWSsystem32
17.09.2004 15:16 503 808 winlogon.exe
1 файлов 503 808 байтLOG.txt
ComboFix 09-05-08.03 — Айк 10.05.2009 14:16.8 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.511.283 [GMT 4:00]
Running from: c:documents and settingsАйкРабочий столComboFix.exe
Command switches used :: c:documents and settingsАйкРабочий столCFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowsIE4 Error Log.txt
c:windowssystem32wmdrtc32.dl_
c:windowssystem32wmdrtc32.dll.
((((((((((((((((((((((((( Files Created from 2009-04-10 to 2009-05-10 )))))))))))))))))))))))))))))))
.2009-05-07 09:17 . 2009-05-10 10:21 5477 —-a-w c:windowssystem32driversoluenh.sys
2009-05-05 22:00 . 2009-05-05 22:00
d
w c:program filesAlwil Software
2009-04-29 07:51 . 2009-04-29 07:51
d
w c:program filesElectronic Arts
2009-04-29 07:34 . 1998-01-23 08:55 333824 —-a-w c:windowsIsUn0419.exe
2009-04-29 07:21 . 2009-04-29 07:21
d
w c:windowsUSB Vibration
2009-04-29 07:21 . 2009-04-29 07:21
d
w c:program filesUSB Vibration Joystick
2009-04-29 07:18 . 2001-08-17 18:02 9600 -c—a-w c:windowssystem32dllcachehidusb.sys
2009-04-29 07:18 . 2001-08-17 18:02 9600 —-a-w c:windowssystem32drivershidusb.sys
2009-04-27 08:15 . 2009-04-27 09:43
d
w c:program filesDownload Master
2009-04-27 08:08 . 2009-05-06 08:02
d
w C:Downloads
2009-04-27 07:59 . 2009-05-10 10:19
d
w c:program filesFlashGet
2009-04-24 19:21 . 2009-04-24 20:34
d
w C:RootkitRevealer
2009-04-19 07:36 . 2009-04-19 07:49
d
w C:Отчет.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 07:21 . 2009-02-18 17:57
d—h—w c:program filesInstallShield Installation Information
2009-04-29 07:21 . 2009-02-18 17:56
d
w c:program filesCommon FilesInstallShield
2009-04-09 09:29 . 2009-04-09 09:29
d
w c:program filesOpera
2009-03-31 07:36 . 2009-02-26 11:53
d
w c:program filestrend micro
2009-03-31 07:30 . 2009-03-31 07:30 3218 —-a-w c:windowssystem32PerfStringBackup.TMP
2009-03-31 07:30 . 2001-10-20 11:00 70658 —-a-w c:windowssystem32perfc019.dat
2009-03-31 07:30 . 2001-10-20 11:00 433468 —-a-w c:windowssystem32perfh019.dat
2009-03-24 16:00 . 2009-03-24 15:57
d
w c:program filesNokia
2009-03-24 15:58 . 2009-03-24 15:58
d
w c:program filesDIFX
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesNokia
2009-03-24 15:58 . 2009-03-24 15:57
d
w c:program filesCommon FilesPCSuite
2009-03-21 15:35 . 2009-03-17 17:02
d
w c:program filesBararan Program
2009-03-21 10:15 . 2009-03-21 10:15
d
w c:program filesGames.Mail.Ru
2009-03-02 17:47 . 2009-03-02 12:39 10 —-a-w c:windowspopcinfo.dat
2009-02-17 19:24 . 2009-02-17 17:21 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-17 17:21 . 2001-10-20 11:00 67 —sha-w c:windowsFontsdesktop.ini
2009-02-17 17:15 . 2009-02-17 17:15 22564 —-a-w c:windowssystem32emptyregdb.dat
2005-04-19 15:25 . 2009-04-09 09:29 53323 —-a-w c:program filesoperaprogrampluginsPlugDef.dll
.
Sigcheck
[-] 2004-09-17 11:16 503808 A975A70FCEFE2A224412214320C89DED c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-04-18_22.32.51 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-29 07:21 . 2006-01-20 05:56 30720 c:windowsUSB Vibration7906setreg64.exe
+ 2009-04-29 07:21 . 2006-01-20 05:06 86016 c:windowsUSB Vibration7906FCVAP32.dll
+ 2009-04-29 07:21 . 2006-01-20 04:48 65536 c:windowsUSB Vibration7906EZFRD32.dll
+ 2009-02-17 17:14 . 2001-10-20 11:00 19429 c:windowssystem32MsDtcTracemsdtcvtr.bat
+ 2009-04-29 07:21 . 2006-01-20 07:59 108032 c:windowsUSB Vibration7906FCVAP64.dll
+ 2009-04-29 07:21 . 2006-01-20 05:16 112640 c:windowsUSB Vibration7906EZFRD64.dll
+ 2009-02-17 20:02 . 2009-05-08 07:13 754160 c:windowssystem32FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
AutoCAD Startup Accelerator.lnk — c:program filesCommon FilesAutodesk Sharedacstart17.exe [2006-3-5 11000][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableTaskMgr»= 1 (0x1)
«DisableRegistryTools»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001
«UacDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«FirewallDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UacDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\С-i failer\Мои документы\Антивирус\savceclt.exe»=
«c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE»=
«c:\WINDOWS\system32\dwwin.exe»=
«c:\Program Files\Ahead\Nero StartSmart\NeroStartSmart.exe»=
«c:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe»=
«c:\WINDOWS\system32\netsh.exe»=
«c:\WINDOWS\system32\NeroCheck.exe»=
«c:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe»=
«c:\Program Files\AutoCAD 2007\acad.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe»=
«c:\Program Files\Windows Media Player\wmplayer.exe»=
«c:\Documents and Settings\Айк\Рабочий стол\ДЛЯ уничтожения вирусов\RSIT\RSIT.exe»=
«c:\Program Files\Bararan Program\Bararan.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\GETCON~1.EXE»=
«c:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe»=
«c:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE»=
«c:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe»=
«c:\ComboFix\NirCmdC.cfexe»=
«c:\Program Files\Opera\Opera.exe»=
«c:\Program Files\Common Files\Autodesk Shared\acstart17.exe»=
«c:\Downloads\Программы\NOR\555\333\launch.exe»=
«c:\Program Files\Download Master\dmaster.exe»=
«d:\ЛИЛИТ&АСМИК_xary\ИГРЫ\SuperJazz\Data\Jazz2.exe»=
«c:\WINDOWS\system32\WISPTIS.EXE»=
«d:\ЛИЛИТ&АСМИК_xary\Виртуальные уроки\ЧАСТЬ 1\start.exe»=
«c:\Program Files\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe»=R4 NdisFileServices32;NdisFileServices32;c:windowssystem32driversoluenh.sys [07.05.2009 13:17 5477]
S3 abp470n5;abp470n5;??c:windowssystem32driversptgpr.sys —> c:windowssystem32driversptgpr.sys [?]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.mail.ru/
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать все при помощи FlashGet — c:program filesFlashGetjc_all.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Закачать при помощи FlashGet — c:program filesFlashGetjc_link.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-10 14:21
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(3552)
c:windowssystem32msi.dll
.
Other Running Processes
.
c:progra~1NokiaNOKIAP~1LAUNCH~1.EXE
c:program filesCommon FilesAheadLibNMBgMonitor.exe
c:program filesNokiaNokia PC Suite 6PcSync2.exe
c:program filesCommon FilesPCSuiteServicesServiceLayer.exe
c:progra~1COMMON~1NokiaMPAPIMPAPI3s.exe
.
**************************************************************************
.
Completion time: 2009-05-10 14:24 — machine was rebooted
ComboFix-quarantined-files.txt 2009-05-10 10:24
ComboFix2.txt 2009-05-07 09:20
ComboFix3.txt 2009-04-19 08:47
ComboFix4.txt 2009-04-19 07:48
ComboFix5.txt 2009-05-10 10:15Pre-Run: 10 153 349 120 байт свободно
Post-Run: 10 121 052 160 байт свободно165
Судя по тому, что вирус востанавливается каждый раз, когда мы его удаляем, плюс Combofix пишет, что контрольная сумма файла winlogon.exe (системный файл Windows) не сходится с той, что должна быть. То наиболее очевидно, что вирус заразил/подменил один или несколько системных файлов.
Поэтому предлагаю, для того чтобы убыстрить процедуру лечения, переустановить Windows или выполнить востановление Windows. В обоих случаях вам нужен инсталяционный диск Windows.
- Для ответа в этой теме необходимо авторизоваться.
