- This topic has 8 ответов, 3 участника, and was last updated 16 years назад by
.
-
Сообщения
-
Доброго времени суток.
Собственно проблема как и у всех, но имеются небольший различия.
При загрузке компа блокируются почти все комманды (диспетчер задачь, регэдит и пр.), также при попытке зайти на сайты типа касперского или вирус тотала браузер закрывается; при попытке с безопасника запустить HiJackThis комп просто завершает работу)) Загружаюсь с Лайфсиди, пробую запустить RSIT.exe, сканирование проходит, но файлы сохранить неможет, тк сижу с Лайфсиди. Просканился на HiJackThis:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:41, on 01.12.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: NormalRunning processes:
X:i386system32csrss.exe
X:i386system32services.exe
X:i386system32lsass.exe
X:i386system32svchost.exe
X:i386system32svchost.exe
X:i386System32xpelogon.exe
X:i386System32svchost.exe
X:ProgramsWBwbload.exe
X:i386Explorer.exe
X:i386System32svchost.exe
X:PROGRAMSHijackThisHijackThis.exe
X:i386system32runscanner.exe
B:tmp_hijackthishijackthis.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
R3 — Default URLSearchHook is missing
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Program FilesInternet Explorersvcnost.exe
O2 — BHO: ClickCatcher MSIE handler — {16664845-0E00-11D2-8059-000000000000} — C:Program FilesCommon FilesReGet SharedCatcher.dll
O2 — BHO: IEVkbdBHO — {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009ievkbd.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_06binssv.dll
O3 — Toolbar: ReGet Bar — {17939A30-18E2-471E-9D3A-56DD725F1215} — C:Program FilesReGet SoftwareReGet DeluxeIEBar.dll
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe»
O4 — HKLM..Run: [wmagent.exe] «C:Program FilesWebMoney Agentwmagent.exe»
O4 — HKLM..Run: [Samsung PanelMgr] C:WINDOWSSamsungPanelMgrssmmgr.exe /autorun
O4 — HKLM..Run: [Help] C:WINDOWSsystem32explope.exe
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binnpjpi160_06.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binnpjpi160_06.dll
O9 — Extra button: Cтатистика защиты веб-трафика — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009SCIEPlgn.dll
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — AppInit_DLLs: C:WINDOWSsystem32LWOwG.dll
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: Kaspersky Anti-Virus (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: MySQL — Unknown owner — C:Program.exe (file missing)
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 4498 bytesСильно вызывает подозрение строчка
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Program FilesInternet Explorersvcnost.exeНо данная строка отличается от тех что приведены в гайдах по удалению заставки…
Также с безопасного режима попробовал ввести в OTM.exe скрипт
:services
sfc:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«Generic Host for Win32 Services»=-
«svhost»=-
«Microsoft Internet Agent»=-
«explore»=-[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«wsock»=-
«SVCHOST.EXE»=-
«Windows Loader»=-
«Windows System Recover!»=-
«AntiSpyware Service»=-[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»»[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler]
«{BF56A325-23F2-42AD-F4E4-00AAC39CAA53}»=-[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«DisableTaskMgr»=0
«DisableRegistryTools»=0:files
C:WINDOWSsystem32driverssfc.sys
C:WINDOWSsystem32suIjP.dll
C:WINDOWSsystem32driverssvchost.exe
c:windowssystem32winagent.exe:Commands
[emptytemp]
[Reboot]Выкладываю лог
All processes killed
========== SERVICES/DRIVERS ==========
No service named sfc was found to stop!
No service named sfc was found to delete!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} not found.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} not found.
Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\Generic Host for Win32 Services not found.
Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\svhost not found.
Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\Microsoft Internet Agent not found.
Registry value HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun\explore not found.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\wsock not found.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\SVCHOST.EXE not found.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\Windows Loader not found.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\Windows System Recover! not found.
Registry value HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun\AntiSpyware Service not found.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\»AppInit_DLLS»|»» /E : value set successfully!
Registry value HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler\{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} not found.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{BF56A325-23F2-42AD-F4E4-00AAC39CAA53} not found.
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem\»DisableTaskMgr»|0 /E : value set successfully!
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem\»DisableRegistryTools»|0 /E : value set successfully!
========== FILES ==========
File/Folder C:WINDOWSsystem32driverssfc.sys not found.
File/Folder C:WINDOWSsystem32suIjP.dll not found.
File/Folder C:WINDOWSsystem32driverssvchost.exe not found.
File/Folder c:windowssystem32winagent.exe not found.
========== COMMANDS ==========[EMPTYTEMP]
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytesUser: All Users
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytesUser: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytesUser: Администратор
->Temp folder emptied: 161263724 bytes
->Temporary Internet Files folder emptied: 101392891 bytes%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2339456 bytes
%systemroot%System32 .tmp files removed: 49741 bytes
Windows Temp folder emptied: 2244706 bytes
%systemroot%system32configsystemprofileLocal SettingsTemp folder emptied: 0 bytes
%systemroot%system32configsystemprofileLocal SettingsTemporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 248851 bytesTotal Files Cleaned = 255,24 mb
OTM by OldTimer — Version 3.1.2.0 log created on 12012009_144854
В итоге: после перезагрузки комп грузился ну оооочень долго, диспетчер задач все еще был недоступен, и где то минут через 10-15 снова вылез банер.
Возможно я где то ошибся?
Заранее спасибо.У меня такая же фигня, (БАННЕР розовый, смс -ку просит, но вроде все работает, только инет слитает через «по разному», самое стремное повер всех окон висит… Я вообще не смюслю что делать. кто то говорил что processe explorere можно найти процесс и в unlokere убить, только вот как там его искать и как потом его убивать не вскипел еще 😥 Кто-нибудь может помочь мне, русским по белому разьяснить. За ранее благодарен!
Пофиксил строку
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Program FilesInternet Explorersvcnost.exeтакже запаковал этот файл в архив под паролем и удалил екзешный, результата не дало. Проверил файл по вирустоталу, выдает троян. Лог вирустотала:
Антивирус Версия Обновление Результат
a-squared 4.5.0.43 2009.12.01 Gen.Trojan!IK
AhnLab-V3 5.0.0.2 2009.12.01 —
AntiVir 7.9.1.88 2009.12.01 TR/Crypt.PEPM.Gen
Antiy-AVL 2.0.3.7 2009.12.01 —
Authentium 5.2.0.5 2009.12.01 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2009.12.01 —
AVG 8.5.0.426 2009.12.01 —
BitDefender 7.2 2009.12.01 Gen:Trojan.Heur.bOelrzsuhfiID
CAT-QuickHeal 10.00 2009.12.01 (Suspicious) — DNAScan
ClamAV 0.94.1 2009.12.01 —
Comodo 3103 2009.12.01 Heur.Packed.Unknown
DrWeb 5.0.0.12182 2009.12.01 —
eSafe 7.0.17.0 2009.12.01 Win32.TRCrypt.Pepm
eTrust-Vet 35.1.7150 2009.12.01 —
F-Prot 4.5.1.85 2009.11.30 W32/Heuristic-210!Eldorado
F-Secure 9.0.15370.0 2009.11.29 —
Fortinet 4.0.14.0 2009.12.01 —
GData 19 2009.12.01 Gen:Trojan.Heur.bOelrzsuhfiID
Ikarus T3.1.1.74.0 2009.12.01 Gen.Trojan
Jiangmin 11.0.800 2009.12.01 —
K7AntiVirus 7.10.906 2009.11.27 —
Kaspersky 7.0.0.125 2009.12.01 —
McAfee 5819 2009.12.01 —
McAfee+Artemis 5819 2009.12.01 Artemis!44BA48040FA2
McAfee-GW-Edition 6.8.5 2009.12.01 Trojan.Crypt.PEPM.Gen
Microsoft 1.5302 2009.12.01 —
NOD32 4652 2009.12.01 —
Norman 6.03.02 2009.12.01 —
nProtect 2009.1.8.0 2009.11.28 —
Panda 10.0.2.2 2009.12.01 —
PCTools 7.0.3.5 2009.12.01 —
Prevx 3.0 2009.12.01 Medium Risk Malware
Rising 22.24.01.09 2009.12.01 —
Sophos 4.48.0 2009.12.01 Mal/EncPk-GC
Sunbelt 3.2.1858.2 2009.12.01 Trojan.Win32.Generic!SB.0
Symantec 1.4.4.12 2009.12.01 —
TheHacker 6.5.0.2.082 2009.11.30 —
TrendMicro 9.100.0.1001 2009.12.01 —
VBA32 3.12.12.0 2009.11.30 —
ViRobot 2009.12.1.2065 2009.12.01 —
VirusBuster 5.0.21.0 2009.12.01 —
Дополнительная информация
File size: 22016 bytes
MD5…: 44ba48040fa26b12aa402450ffbf3b39
SHA1..: 2c977550f2af077c5faa8d73fbccaf4d6c1a46c7
SHA256: f323e7f2543b3a5e24fee4dbf455610e91dc86f12ebb3550921b52b27c3c5705
ssdeep: 384:WAVgEbEbZc3p3ORcvrpW5ZW8qpTRVLV6:s3GWWVWXW77LV6
PEiD..: —
PEInfo: PE Structure information( base data )
entrypointaddress.: 0x398e
timedatestamp…..: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype…….: 0x14c (I386)( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x5000 0x2a00 7.88 0492dd7f52386e67d33a4173d5a3163f
DATA 0x6000 0x1000 0x200 2.09 b6300879db32c908f9a490aadf783d3d
BSS 0x7000 0x2000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x9000 0x1000 0x400 6.88 03fe7b911feaf5111c2850827eb1214c
.tls 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xb000 0x1000 0x200 0.20 fe9724ded60680be86cb8d8497d9638d
.reloc 0xc000 0x1000 0x400 4.58 c92e8045fd22ece324c6eb495437c24b
.rsrc 0xd000 0x1000 0xa00 1.43 c93784a95b3633809fb1a6c81cb7869e
.0xfx0 0xe000 0x1000 0x200 2.30 1f5600f945e001266b23e68cbcc2c13b
PEPACK__ 0xf000 0x3000 0x1000 5.69 3c9d8b7b9871fe0c4a5b60bcf9924719( 2 imports )
KERNEL32.DLL: GetModuleHandleA, LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree, ExitProcess
USER32.DLL: MessageBoxA, wsprintfA
KERNEL32.DLL: GetModuleHandleA, LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree, ExitProcess
USER32.DLL: MessageBoxA, wsprintfA( 0 exports )
RDS…: NSRL Reference Data Set
—
pdfid.: —
sigcheck:
publisher….: Java T System
copyright….:
product……: Fr0
description..: Jar instaler
original name:
internal name:
file version.: 6.2.9.1
comments…..: Not comments
signers……: —
signing date.: —
verified…..: Unsigned
trid..: Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
http://info.prevx.com/aboutprogramtext.asp?PX5=016C7D33007E9CB3567D0056EED3E400D5654347
packers (F-Prot): PE-Pack, Aspack
packers (Authentium): PE-Pack, Aspack
packers (Kaspersky): PE-PackСамое смешное это то, что пока ждал помощи сам удалил информер! =)))
Проверил все подозрительные файлы запуска и в итоге удалил
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Program FilesInternet Explorersvcnost.exe
O4 — HKLM..Run: [Help] C:WINDOWSsystem32explope.exe
O20 — AppInit_DLLs: C:WINDOWSsystem32LWOwG.dllСистема запустилась без банера, далее разлочил Диспетчер и Реестр методом:
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.Остается только решить проблемку с SVCHOST.exe, уж больно он после всех этих махинаций начинает процессор нагружать, грузит на всю железку…
Также откатал «телегу» со всеми прилогающимися файлами-вирями и комментариями в лабораторию касперского. Так что ждемс, скоро в новых базах будет лекарство к «массовому заболеванию» =)
Ах да, кстати было замечено 2 подозрительных файла в корне диска C:/ с именами PAGEFILE.SYS (1,87 ГБ (2 013 265 920 байт)) и hiberfil.sys (1,24 ГБ (1 341 706 240 байт)). Раньше таких файлов вроде не наблюдалось…
Свежий лог HiJackThis прилагается.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Проверил все подозрительные файлы запуска и в итоге удалил
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:Program FilesInternet Explorersvcnost.exe
O4 — HKLM..Run: [Help] C:WINDOWSsystem32explope.exe
O20 — AppInit_DLLs: C:WINDOWSsystem32LWOwG.dllСистема запустилась без банера, далее разлочил Диспетчер и Реестр методом:
Как сделать доступным запуск Диспетчера задач, или Займемся «групповухой»
Даже после удаления вируса, запретившего запуск Диспетчера задач, запуск его невозможен. Чтобы вновь сделать возможным запуск Диспетчера задач нажмите Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> откроется диалоговое окно Групповая политика –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.Проблемный метод изучения в действии 🙂
HijackThis лог выглядит нормально.
Скачайте сканер OTL кликнув по этой ссылке и сохраните файл на вашем рабочем столе.* Дважды кликните по скачанному файлу.
* Поставьте галочку в пункте «Scan All Users».
* Кликните по кнопке «Run Scan».
* Когда программа закончит работу, будут показаны два лога.Вставьте оба OTL лога в ваш ответ. Каждый лог в отдельное сообщение.
OTL.txt
OTL logfile created on: 03.12.2009 0:36:36 — Run 1
OTL by OldTimer — Version 3.1.11.4 Folder = D:
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) — Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000419 | Country: Россия | Language: RUS | Date Format: dd.MM.yyyy1,25 Gb Total Physical Memory | 0,71 Gb Available Physical Memory | 57,22% Memory free
2,98 Gb Paging File | 2,56 Gb Available in Paging File | 85,91% Paging File free
Paging file location(s): C:pagefile.sys 1920 3840 [binary data]%SystemDrive% = C: | %SystemRoot% = C:WINDOWS | %ProgramFiles% = C:Program Files
Drive C: | 19,99 Gb Total Space | 3,66 Gb Free Space | 18,28% Space Free | Partition Type: FAT32
Drive D: | 149,00 Gb Total Space | 4,29 Gb Free Space | 2,88% Space Free | Partition Type: FAT32
Drive E: | 17,27 Gb Total Space | 11,07 Gb Free Space | 64,11% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loadedComputer Name: MICROSOF-3890C7
Current User Name: Администратор
Logged in as Administrator.Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard========== Processes (SafeList) ==========
PRC — [2009.12.03 00:15:34 | 00,535,552 | —- | M] (OldTimer Tools) — D:OTL.exe
PRC — [2009.11.20 19:01:18 | 00,832,296 | —- | M] (Opera Software) — C:Program FilesOperaopera.exe
PRC — [2009.10.09 13:11:12 | 25,623,336 | R— | M] (Skype Technologies S.A.) — C:Program FilesSkypePhoneSkype.exe
PRC — [2009.10.04 14:45:00 | 00,289,072 | —- | M] (BitTorrent, Inc.) — C:Program FilesuTorrentuTorrent.exe
PRC — [2009.09.18 09:27:52 | 00,208,616 | —- | M] (Kaspersky Lab) — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe
PRC — [2009.09.18 00:33:54 | 00,831,272 | —- | M] (ООО Яндекс) — C:Program FilesYandexPunto Switcherpunto.exe
PRC — [2009.03.25 18:02:56 | 05,245,440 | —- | M] (QIP) — C:Program FilesQIP Infiuminfium.exe
PRC — [2008.10.01 13:45:22 | 00,209,376 | —- | M] () — C:Program FilesWebMoney Agentwmagent.exe
PRC — [2008.04.25 14:41:12 | 01,597,952 | —- | M] (Корпорация Майкрософт) — C:WINDOWSexplorer.exe
PRC — [2008.04.15 16:00:00 | 00,126,464 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32wbemwmiapsrv.exe
PRC — [2008.04.15 12:00:00 | 00,509,440 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32winlogon.exe
PRC — [2008.04.15 12:00:00 | 00,109,056 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32services.exe
PRC — [2008.04.15 12:00:00 | 00,050,688 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32smss.exe
PRC — [2008.04.15 12:00:00 | 00,013,824 | —- | M] (Microsoft Corporation) — C:WINDOWSsystem32wscntfy.exe
PRC — [2008.03.23 17:18:06 | 00,132,096 | —- | M] () — C:Program FilesVistaDriveIconVistaDrv.exe
PRC — [2007.07.06 13:14:02 | 05,730,304 | —- | M] () — C:Program FilesMySQLMySQL Server 5.0binmysqld-nt.exe
PRC — [2006.08.16 07:10:56 | 00,503,808 | —- | M] () — C:WINDOWSSamsungPanelMgrSSMMgr.exe
PRC — [2006.05.03 16:43:46 | 00,413,696 | —- | M] (ATI Technologies Inc.) — C:WINDOWSsystem32ati2evxx.exe========== Modules (SafeList) ==========
MOD — [2009.12.03 00:15:34 | 00,535,552 | —- | M] (OldTimer Tools) — D:OTL.exe
MOD — [2009.09.18 00:33:54 | 00,021,800 | —- | M] (ООО Яндекс) — C:Program FilesYandexPunto Switcherpshook.dll
MOD — [2008.04.25 14:42:36 | 00,584,192 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32user32.dll
MOD — [2008.04.25 14:42:22 | 15,559,168 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32shell32.dll
MOD — [2008.04.25 14:42:22 | 00,477,184 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32shlwapi.dll
MOD — [2008.04.25 14:42:02 | 01,422,336 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32setupapi.dll
MOD — [2008.04.15 16:00:00 | 00,067,584 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32srclient.dll
MOD — [2008.04.15 12:00:00 | 01,287,168 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32ole32.dll
MOD — [2008.04.15 12:00:00 | 00,995,840 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32kernel32.dll
MOD — [2008.04.15 12:00:00 | 00,710,144 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32ntdll.dll
MOD — [2008.04.15 12:00:00 | 00,687,616 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32advapi32.dll
MOD — [2008.04.15 12:00:00 | 00,297,984 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32MSCTF.dll
MOD — [2008.04.15 12:00:00 | 00,177,152 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32winmm.dll
MOD — [2008.04.15 12:00:00 | 00,146,944 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32winspool.drv
MOD — [2008.03.26 23:04:26 | 00,219,648 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32uxtheme.dll========== Win32 Services (SafeList) ==========
SRV — [2009.09.18 09:27:52 | 00,208,616 | —- | M] (Kaspersky Lab) — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe — (AVP)
SRV — [2008.04.25 14:38:48 | 00,483,840 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32wzcsvc.dll — (WZCSVC)
SRV — [2008.04.15 16:00:00 | 00,409,088 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32qmgr.dll — (BITS) Фоновая интеллектуальная служба передачи (BITS)
SRV — [2008.04.15 16:00:00 | 00,295,936 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32termsrv.dll — (TermService)
SRV — [2008.04.15 16:00:00 | 00,193,024 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32schedsvc.dll — (Schedule)
SRV — [2008.04.15 16:00:00 | 00,186,368 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32upnphost.dll — (upnphost)
SRV — [2008.04.15 16:00:00 | 00,171,008 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32srsvc.dll — (srservice)
SRV — [2008.04.15 16:00:00 | 00,145,408 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32wbemwmisvc.dll — (winmgmt)
SRV — [2008.04.15 16:00:00 | 00,141,824 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32sessmgr.exe — (RDSessMgr)
SRV — [2008.04.15 16:00:00 | 00,126,464 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32wbemwmiapsrv.exe — (WmiApSrv)
SRV — [2008.04.15 16:00:00 | 00,032,768 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32mnmsrvc.exe — (mnmsrvc)
SRV — [2008.04.15 12:00:00 | 00,687,616 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32advapi32.dll — (Wmi) Расширения драйверов WMI (Windows Management Instrumentation)
SRV — [2008.04.15 12:00:00 | 00,436,736 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32ntmssvc.dll — (NtmsSvc)
SRV — [2008.04.15 12:00:00 | 00,333,824 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32wiaservc.dll — (stisvc) Служба загрузки изображений (WIA)
SRV — [2008.04.15 12:00:00 | 00,331,264 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32ipnathlp.dll — (SharedAccess) Брандмауэр Windows/Общий доступ к Интернету (ICS)
SRV — [2008.04.15 12:00:00 | 00,290,304 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32vssvc.exe — (VSS)
SRV — [2008.04.15 12:00:00 | 00,249,856 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32tapisrv.dll — (TapiSrv)
SRV — [2008.04.15 12:00:00 | 00,247,296 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32mswsock.dll — (Nla) Служба сетевого расположения (NLA)
SRV — [2008.04.15 12:00:00 | 00,198,144 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32netman.dll — (Netman)
SRV — [2008.04.15 12:00:00 | 00,175,616 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32w32time.dll — (W32Time)
SRV — [2008.04.15 12:00:00 | 00,171,008 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32appmgmts.dll — (AppMgmt)
SRV — [2008.04.15 12:00:00 | 00,150,528 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32imapi.exe — (ImapiService)
SRV — [2008.04.15 12:00:00 | 00,135,680 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32shsvcs.dll — (Themes)
SRV — [2008.04.15 12:00:00 | 00,135,680 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32shsvcs.dll — (ShellHWDetection)
SRV — [2008.04.15 12:00:00 | 00,135,680 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32shsvcs.dll — (FastUserSwitchingCompatibility)
SRV — [2008.04.15 12:00:00 | 00,126,464 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32dhcpcsvc.dll — (Dhcp)
SRV — [2008.04.15 12:00:00 | 00,113,664 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32netdde.exe — (NetDDEdsdm)
SRV — [2008.04.15 12:00:00 | 00,113,664 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32netdde.exe — (NetDDE)
SRV — [2008.04.15 12:00:00 | 00,109,056 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32services.exe — (PlugPlay)
SRV — [2008.04.15 12:00:00 | 00,109,056 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32services.exe — (Eventlog)
SRV — [2008.04.15 12:00:00 | 00,096,768 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32scardsvr.exe — (SCardSvr)
SRV — [2008.04.15 12:00:00 | 00,091,648 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32smlogsvc.exe — (SysmonLog)
SRV — [2008.04.15 12:00:00 | 00,073,216 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32tlntsvr.exe — (TlntSvr)
SRV — [2008.04.15 12:00:00 | 00,045,568 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32dnsrslvr.dll — (Dnscache)
SRV — [2008.04.15 12:00:00 | 00,024,064 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32dmserver.dll — (dmserver)
SRV — [2008.04.15 12:00:00 | 00,018,944 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32seclogon.dll — (seclogon)
SRV — [2007.07.06 13:14:02 | 05,730,304 | —- | M] () — C:Program FilesMySQLMySQL Server 5.0binmysqld-nt.exe — (MySQL)
SRV — [2006.05.03 16:43:46 | 00,413,696 | —- | M] (ATI Technologies Inc.) — C:WINDOWSsystem32ati2evxx.exe — (Ati HotKey Poller)========== Driver Services (SafeList) ==========
DRV — [2009.09.18 09:27:52 | 00,213,520 | —- | M] (Kaspersky Lab) — C:WINDOWSsystem32driversklif.sys — (KLIF)
DRV — [2009.09.18 09:27:52 | 00,033,808 | —- | M] (Kaspersky Lab) — C:WINDOWSsystem32driversklbg.sys — (klbg)
DRV — [2009.09.16 10:32:56 | 00,717,296 | —- | M] () — C:WINDOWSSystem32Driverssptd.sys — (sptd)
DRV — [2009.04.29 00:20:06 | 00,044,944 | —- | M] (Sonic Solutions) — C:WINDOWSSystem32DriversPxHelp20.sys — (PxHelp20)
DRV — [2008.07.21 18:34:36 | 00,121,872 | —- | M] (Kaspersky Lab) — C:WINDOWSsystem32driverskl1.sys — (kl1)
DRV — [2008.04.30 18:06:48 | 00,024,592 | —- | M] (Kaspersky Lab) — C:WINDOWSsystem32driversklim5.sys — (klim5)
DRV — [2008.04.25 18:37:28 | 00,058,368 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversredbook.sys — (redbook)
DRV — [2008.04.25 14:38:48 | 00,080,128 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversparport.sys — (Parport)
DRV — [2008.04.25 14:38:48 | 00,030,208 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversmodem.sys — (Modem)
DRV — [2008.04.25 14:38:48 | 00,023,296 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversmouclass.sys — (Mouclass)
DRV — [2008.04.15 16:00:00 | 00,073,472 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSsr.sys — (sr)
DRV — [2008.04.15 12:00:00 | 00,188,288 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSACPI.sys — (ACPI)
DRV — [2008.04.15 12:00:00 | 00,125,440 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSftdisk.sys — (Ftdisk)
DRV — [2008.04.15 12:00:00 | 00,120,192 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driverspcmcia.sys — (Pcmcia)
DRV — [2008.04.15 12:00:00 | 00,068,480 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSpci.sys — (PCI)
DRV — [2008.04.15 12:00:00 | 00,065,024 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversserial.sys — (Serial)
DRV — [2008.04.15 12:00:00 | 00,053,120 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversi8042prt.sys — (i8042prt)
DRV — [2008.04.15 12:00:00 | 00,051,968 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversvolsnap.sys — (VolSnap)
DRV — [2008.04.15 12:00:00 | 00,044,544 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversfips.sys — (Fips)
DRV — [2008.04.15 12:00:00 | 00,037,504 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSisapnp.sys — (isapnp)
DRV — [2008.04.15 12:00:00 | 00,024,832 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driverskbdclass.sys — (Kbdclass)
DRV — [2008.04.15 12:00:00 | 00,020,480 | —- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) — C:WINDOWSsystem32driverssecdrv.sys — (Secdrv)
DRV — [2008.04.15 12:00:00 | 00,017,792 | —- | M] (Parallel Technologies, Inc.) — C:WINDOWSsystem32driversptilink.sys — (Ptilink)
DRV — [2008.04.15 12:00:00 | 00,011,776 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversacpiec.sys — (ACPIEC)
DRV — [2008.04.15 12:00:00 | 00,006,912 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32driversparvdm.sys — (ParVdm)
DRV — [2008.04.15 12:00:00 | 00,005,504 | —- | M] (Корпорация Майкрософт) — C:WINDOWSsystem32DRIVERSintelide.sys — (IntelIde)
DRV — [2007.07.12 15:49:16 | 00,096,384 | —- | M] (Realtek Semiconductor Corporation ) — C:WINDOWSsystem32driversRtnicxp.sys — (RTL8023xp)
DRV — [2006.08.16 06:56:50 | 00,041,984 | —- | M] (Samsung Electronics Co., Ltd.) — C:WINDOWSsystem32driversDGIVECP.SYS — (DgiVecp)
DRV — [2006.05.03 16:50:42 | 01,540,608 | —- | M] (ATI Technologies Inc.) — C:WINDOWSsystem32driversati2mtag.sys — (ati2mtag)
DRV — [2001.08.17 20:20:04 | 00,096,256 | —- | M] (Intel Corporation) — C:WINDOWSsystem32driversac97intc.sys — (ac97intc) Intel(r) 82801 служба установки аудиодрайвера (WDM)========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE — HKLMSOFTWAREMicrosoftInternet ExplorerMain,Local Page = %SystemRoot%system32blank.htm
IE — HKCUSOFTWAREMicrosoftInternet ExplorerMain,Start Page = http://www.vkontakte.ru/
IE — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings: «ProxyEnable» = 0Hosts file not found
O2 — BHO: (ClickCatcher MSIE handler) — {16664845-0E00-11D2-8059-000000000000} — C:Program FilesCommon FilesReGet SharedCatcher.dll (ReGet Software)
O2 — BHO: (IEVkbdBHO Class) — {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009ievkbd.dll (Kaspersky Lab)
O2 — BHO: (SSVHelper Class) — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_06binssv.dll (Sun Microsystems, Inc.)
O3 — HKLM..Toolbar: (ReGet Bar) — {17939A30-18E2-471E-9D3A-56DD725F1215} — C:Program FilesReGet SoftwareReGet DeluxeIEBar.dll (ReGet Software)
O3 — HKCU..ToolbarShellBrowser: (&Адрес) — {01E04581-4EEE-11D0-BFE9-00AA005B4383} — C:WINDOWSsystem32browseui.dll (Корпорация Майкрософт)
O4 — HKLM..Run: [AVP] C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe (Kaspersky Lab)
O4 — HKLM..Run: [Samsung PanelMgr] C:WINDOWSSamsungPanelMgrssmmgr.exe ()
O4 — HKLM..Run: [wmagent.exe] C:Program FilesWebMoney Agentwmagent.exe ()
O4 — HKCU..Run: [Infium] C:Program FilesQIP Infiuminfium.exe (QIP)
O4 — HKCU..Run: [QIP.Online] C:Program FilesQIP.Onlineqiponline.exe File not found
O4 — HKCU..Run: [Skype] C:Program FilesSkypePhoneSkype.exe (Skype Technologies S.A.)
O4 — HKCU..Run: [uTorrent] C:Program FilesuTorrentuTorrent.exe (BitTorrent, Inc.)
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe ()
O4 — Startup: C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузкаPunto Switcher.lnk = C:Program FilesYandexPunto Switcherpunto.exe (ООО Яндекс)
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoRemoteRecursiveEvents = 1
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveAutoRun = 67108863
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveTypeAutoRun = 323
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDrives = 0
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: NoInternetOpenWith = 1
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: SynchronousMachineGroupPolicy = 0
O6 — HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem: SynchronousUserGroupPolicy = 0
O7 — HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveTypeAutoRun = 323
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoThumbnailCache = 1
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoLowDiskSpaceChecks = 1
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoSMConfigurePrograms = 1
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoSMHelp = 1
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDriveAutoRun = 67108863
O7 — HKCUSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer: NoDrives = 0
O8 — Extra context menu item: &Экспорт в Microsoft Excel — C:Program FilesMicrosoft OfficeOffice10EXCEL.EXE (Microsoft Corporation)
O9 — Extra ‘Tools’ menuitem : Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binnpjpi160_06.dll (Sun Microsystems, Inc.)
O9 — Extra Button: Cтатистика защиты веб-трафика — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 2009SCIEPlgn.dll (Kaspersky Lab)
O10 — NameSpace_Catalog5Catalog_Entries00000000001 [] — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — NameSpace_Catalog5Catalog_Entries00000000003 [] — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000001 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000002 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000003 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000006 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000007 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000008 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000009 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000010 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000011 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000012 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000013 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000014 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O10 — Protocol_Catalog9Catalog_Entries00000000015 — C:WINDOWSsystem32mswsock.dll (Корпорация Майкрософт)
O15 — HKLM..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 — DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 — DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O16 — DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Java Plug-in 1.6.0_06)
O18 — ProtocolHandlerdvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} — C:WINDOWSsystem32msvidctl.dll (Корпорация Майкрософт)
O18 — ProtocolHandlerskype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:Program FilesCommon FilesSkypeSkype4COM.dll (Skype Technologies)
O18 — ProtocolHandlertv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} — C:WINDOWSsystem32msvidctl.dll (Корпорация Майкрософт)
O18 — ProtocolFiltertext/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} — C:WINDOWSsystem32shell32.dll (Корпорация Майкрософт)
O20 — HKLM Winlogon: Shell — (Explorer.exe) — C:WINDOWSexplorer.exe (Корпорация Майкрософт)
O20 — HKLM Winlogon: UserInit — (C:WINDOWSsystem32userinit.exe) — C:WINDOWSsystem32userinit.exe (Корпорация Майкрософт)
O20 — HKLM Winlogon: UIHost — (logonui.exe) — C:WINDOWSSystem32logonui.exe (Корпорация Майкрософт)
O20 — HKLM Winlogon: VMApplet — (rundll32 shell32) — C:WINDOWSSystem32shell32.dll (Корпорация Майкрософт)
O20 — HKLM Winlogon: VMApplet — (Control_RunDLL «sysdm.cpl») — C:WINDOWSSystem32sysdm.cpl (Корпорация Майкрософт)
O20 — WinlogonNotifyAtiExtEvent: DllName — Ati2evxx.dll — C:WINDOWSSystem32ati2evxx.dll (ATI Technologies Inc.)
O20 — WinlogonNotifycrypt32chain: DllName — crypt32.dll — C:WINDOWSSystem32crypt32.dll (Корпорация Майкрософт)
O20 — WinlogonNotifycscdll: DllName — cscdll.dll — C:WINDOWSSystem32cscdll.dll (Корпорация Майкрософт)
O20 — WinlogonNotifyklogon: DllName — C:WINDOWSsystem32klogon.dll — C:WINDOWSsystem32klogon.dll (Kaspersky Lab)
O20 — WinlogonNotifyScCertProp: DllName — wlnotify.dll — C:WINDOWSSystem32wlnotify.dll (Корпорация Майкрософт)
O20 — WinlogonNotifySchedule: DllName — wlnotify.dll — C:WINDOWSSystem32wlnotify.dll (Корпорация Майкрософт)
O20 — WinlogonNotifysclgntfy: DllName — sclgntfy.dll — C:WINDOWSSystem32sclgntfy.dll (Корпорация Майкрософт)
O20 — WinlogonNotifySensLogn: DllName — WlNotify.dll — C:WINDOWSSystem32wlnotify.dll (Корпорация Майкрософт)
O20 — WinlogonNotifytermsrv: DllName — wlnotify.dll — C:WINDOWSSystem32wlnotify.dll (Корпорация Майкрософт)
O20 — WinlogonNotifywlballoon: DllName — wlnotify.dll — C:WINDOWSSystem32wlnotify.dll (Корпорация Майкрософт)
O21 — SSODL: CDBurn — {fbeb8a05-beee-4442-804e-409d6c4515e9} — C:WINDOWSsystem32shell32.dll (Корпорация Майкрософт)
O21 — SSODL: SysTray — {35CEC8A3-2BE6-11D2-8773-92E220524153} — C:WINDOWSsystem32stobject.dll (Корпорация Майкрософт)
O22 — SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} — Предзагрузчик Browseui — C:WINDOWSsystem32browseui.dll (Корпорация Майкрософт)
O22 — SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} — Демон кэша категорий компонентов — C:WINDOWSsystem32browseui.dll (Корпорация Майкрософт)
O24 — Desktop Components:0 (Моя текущая домашняя страница) — About:Home
O28 — HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} — C:WINDOWSSystem32shell32.dll (Корпорация Майкрософт)
O29 — HKLM SecurityProviders — (digest.dll) — C:WINDOWSSystem32digest.dll (Корпорация Майкрософт)
O29 — HKLM SecurityProviders — (msnsspc.dll) — C:WINDOWSSystem32msnsspc.dll (Корпорация Майкрософт)
O32 — HKLM CDRom: AutoRun — 1
O32 — AutoRun File — [2009.09.16 10:23:04 | 00,000,000 | —- | M] () — C:AUTOEXEC.BAT — [ FAT32 ]
O34 — HKLM BootExecute: (autocheck) — File not found
O34 — HKLM BootExecute: (*) — File not found
O35 — comfile [open] — «%1» %*
O35 — exefile [open] — «%1» %*========== Files/Folders — Created Within 30 Days ==========
[2009.12.02 19:03:47 | 24,134,776 | —- | C] (Doctor Web, Ltd.) — C:Documents and SettingsАдминистраторРабочий стол32w4fm5k.exe
[2009.12.02 18:54:06 | 00,000,000 | -HSD | C] — C:System Volume Information
[2009.12.02 14:51:59 | 00,000,000 | —D | C] — C:WINDOWStemp
[2009.12.02 13:44:41 | 00,212,480 | —- | C] (SteelWerX) — C:WINDOWSSWXCACLS.exe
[2009.12.02 13:44:41 | 00,161,792 | —- | C] (SteelWerX) — C:WINDOWSSWREG.exe
[2009.12.02 13:44:41 | 00,136,704 | —- | C] (SteelWerX) — C:WINDOWSSWSC.exe
[2009.12.02 13:44:41 | 00,031,232 | —- | C] (NirSoft) — C:WINDOWSNIRCMD.exe
[2009.12.02 13:41:38 | 00,000,000 | —D | C] — C:WINDOWSERDNT
[2009.12.02 13:39:24 | 00,000,000 | —D | C] — C:ComboFix
[2009.12.02 13:37:20 | 00,000,000 | —D | C] — C:Qoobox
[2009.12.02 02:43:13 | 00,000,000 | -H-D | C] — C:WINDOWSSystem32GroupPolicy
[2009.12.01 17:17:08 | 00,000,000 | —D | C] — C:Program Filestrend micro
[2009.12.01 17:17:05 | 00,000,000 | —D | C] — C:rsit
[2009.12.01 15:37:51 | 00,000,000 | —D | C] — C:Program FilesMalwarebytes’ Anti-Malware
[2009.12.01 15:07:28 | 00,000,000 | —D | C] — C:FOUND.002
[2009.12.01 14:31:44 | 00,000,000 | —D | C] — C:Program FilesHiJackThis
[2009.12.01 04:19:54 | 00,000,000 | —D | C] — C:FOUND.001
[2009.12.01 03:42:18 | 00,000,000 | —D | C] — C:FOUND.000
[2009.12.01 03:02:55 | 00,000,000 | —D | C] — C:WINDOWSpss
[2009.11.25 13:11:39 | 00,000,000 | —D | C] — C:Documents and SettingsАдминистраторРабочий столkasper_23.11.2009
[2009.11.24 12:02:22 | 00,000,000 | —D | C] — C:Documents and SettingsАдминистраторРабочий столТранспортное право для ОЗО
[2009.11.05 15:17:46 | 00,000,000 | —D | C] — C:katesplayground========== Files — Modified Within 30 Days ==========
[2009.12.03 00:30:36 | 00,000,666 | —- | M] () — C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузкаPunto Switcher.lnk
[2009.12.03 00:29:36 | 00,000,006 | -H— | M] () — C:WINDOWStasksSA.DAT
[2009.12.03 00:29:12 | 00,002,048 | —S- | M] () — C:WINDOWSbootstat.dat
[2009.12.03 00:28:56 | 13,417,06240 | -HS- | M] () — C:hiberfil.sys
[2009.12.03 00:23:02 | 00,992,770 | —- | M] () — C:WINDOWSSystem32PerfStringBackup.INI
[2009.12.03 00:23:02 | 00,442,640 | —- | M] () — C:WINDOWSSystem32perfh019.dat
[2009.12.03 00:23:02 | 00,401,200 | —- | M] () — C:WINDOWSSystem32perfh009.dat
[2009.12.03 00:23:02 | 00,074,872 | —- | M] () — C:WINDOWSSystem32perfc019.dat
[2009.12.03 00:23:02 | 00,062,480 | —- | M] () — C:WINDOWSSystem32perfc009.dat
[2009.12.03 00:22:54 | 06,291,456 | -H— | M] () — C:Documents and SettingsАдминистраторLocal SettingsApplication DataIconCache.db
[2009.12.02 20:00:44 | 00,025,120 | -HS- | M] () — C:WINDOWSSystem32driversfidbox.dat
[2009.12.02 20:00:44 | 00,001,276 | -HS- | M] () — C:WINDOWSSystem32driversfidbox.idx
[2009.12.02 20:00:44 | 00,000,032 | -HS- | M] () — C:WINDOWSSystem32driversfidbox2.idx
[2009.12.02 20:00:44 | 00,000,032 | -HS- | M] () — C:WINDOWSSystem32driversfidbox2.dat
[2009.12.02 20:00:36 | 00,000,178 | -HS- | M] () — C:Documents and SettingsАдминистраторntuser.ini
[2009.12.02 20:00:34 | 02,621,440 | -H— | M] () — C:Documents and SettingsАдминистраторNTUSER.DAT
[2009.12.02 19:06:06 | 24,134,776 | —- | M] (Doctor Web, Ltd.) — C:Documents and SettingsАдминистраторРабочий стол32w4fm5k.exe
[2009.12.02 14:54:48 | 00,000,227 | —- | M] () — C:WINDOWSsystem.ini
[2009.12.02 13:17:08 | 00,139,264 | —- | M] () — C:Documents and SettingsАдминистраторLocal SettingsApplication DataDCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.12.02 03:05:56 | 00,000,008 | RHS- | M] () — C:Documents and SettingsАдминистраторntuser.pol
[2009.12.02 02:21:56 | 00,127,356 | —- | M] () — C:WINDOWSSystem32LWOwG.rar
[2009.12.02 00:42:00 | 00,048,366 | —- | M] () — C:WINDOWSSystem32explope.rar
[2009.12.01 04:21:16 | 00,000,507 | —- | M] () — C:WINDOWSwin.ini
[2009.12.01 04:21:16 | 00,000,206 | -HS- | M] () — C:boot.ini
[2009.12.01 03:37:46 | 00,230,379 | —- | M] () — C:Archive.rar
[2009.11.30 20:10:06 | 59,541,083 | —- | M] () — C:Documents and SettingsАдминистраторРабочий столpodkast_syrbu_soblazneniye_svidanie.rar
[2009.11.28 22:31:54 | 00,002,206 | —- | M] () — C:WINDOWSSystem32wpa.dbl
[2009.11.27 17:11:56 | 00,027,136 | —- | M] () — C:Documents and SettingsАдминистраторМои документыОбезболивание.doc
[2009.11.19 20:31:14 | 00,046,592 | —- | M] () — C:Documents and SettingsАдминистраторРабочий столэкономика.xls
[2009.11.14 01:47:58 | 00,260,608 | —- | M] () — C:WINDOWSPEV.exe
[2009.11.10 19:06:28 | 01,798,656 | —- | M] () — C:Documents and SettingsАдминистраторМои документыБОЛЕЗНИ ВЕН.doc
[2009.11.10 16:12:14 | 00,000,430 | —- | M] () — C:Documents and SettingsАдминистраторРабочий столWow.exe.lnk========== Files Created — No Company Name ==========
[2009.12.02 13:44:41 | 00,260,608 | —- | C] () — C:WINDOWSPEV.exe
[2009.12.02 13:44:41 | 00,098,816 | —- | C] () — C:WINDOWSsed.exe
[2009.12.02 13:44:41 | 00,080,412 | —- | C] () — C:WINDOWSgrep.exe
[2009.12.02 13:44:41 | 00,077,312 | —- | C] () — C:WINDOWSMBR.exe
[2009.12.02 13:44:41 | 00,068,096 | —- | C] () — C:WINDOWSzip.exe
[2009.12.02 03:02:25 | 00,000,008 | RHS- | C] () — C:Documents and SettingsАдминистраторntuser.pol
[2009.12.02 02:21:54 | 00,127,356 | —- | C] () — C:WINDOWSSystem32LWOwG.rar
[2009.12.02 01:52:25 | 13,417,06240 | -HS- | C] () — C:hiberfil.sys
[2009.12.02 00:41:58 | 00,048,366 | —- | C] () — C:WINDOWSSystem32explope.rar
[2009.12.01 03:59:35 | 00,000,666 | —- | C] () — C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузкаPunto Switcher.lnk
[2009.12.01 03:37:44 | 00,230,379 | —- | C] () — C:Archive.rar
[2009.11.30 19:53:58 | 59,541,083 | —- | C] () — C:Documents and SettingsАдминистраторРабочий столpodkast_syrbu_soblazneniye_svidanie.rar
[2009.11.27 17:11:55 | 00,027,136 | —- | C] () — C:Documents and SettingsАдминистраторМои документыОбезболивание.doc
[2009.11.10 18:52:49 | 01,798,656 | —- | C] () — C:Documents and SettingsАдминистраторМои документыБОЛЕЗНИ ВЕН.doc
[2009.11.10 16:12:12 | 00,000,430 | —- | C] () — C:Documents and SettingsАдминистраторРабочий столWow.exe.lnk
[2009.09.23 13:12:28 | 01,712,128 | —- | C] () — C:WINDOWSSystem32libmysql_d.dll
[2009.09.22 10:55:21 | 00,009,160 | —- | C] () — C:Documents and SettingsАдминистраторApplication DataSmarThruOptions.xml
[2009.09.22 10:55:20 | 00,163,840 | —- | C] () — C:WINDOWSSystem32SecSNMP.dll
[2009.09.22 10:54:51 | 00,000,124 | —- | C] () — C:WINDOWSReadiris.ini
[2009.09.22 10:54:46 | 00,023,040 | —- | C] () — C:WINDOWSSystem32irisco32.dll
[2009.09.22 10:51:25 | 00,106,496 | R— | C] () — C:WINDOWSSystem32WIAIPH.dll
[2009.09.22 10:51:25 | 00,049,152 | R— | C] () — C:WINDOWSSystem32WIASTIIO.dll
[2009.09.22 10:51:24 | 00,081,920 | R— | C] () — C:WINDOWSSystem32WIAEH.dll
[2009.09.22 10:51:23 | 00,057,344 | R— | C] () — C:WINDOWSSystem32Sswiadrv.dll
[2009.09.22 10:41:31 | 00,000,394 | —- | C] () — C:WINDOWSODBC.INI
[2009.09.17 20:12:41 | 00,178,176 | —- | C] () — C:WINDOWSSystem32unrar.dll
[2009.09.17 20:12:41 | 00,000,038 | —- | C] () — C:WINDOWSavisplitter.ini
[2009.09.17 20:12:38 | 00,881,664 | —- | C] () — C:WINDOWSSystem32xvidcore.dll
[2009.09.17 20:12:38 | 00,205,824 | —- | C] () — C:WINDOWSSystem32xvidvfw.dll
[2009.09.17 20:12:37 | 03,596,288 | —- | C] () — C:WINDOWSSystem32qt-dx331.dll
[2009.09.17 20:12:35 | 00,085,504 | —- | C] () — C:WINDOWSSystem32ff_vfw.dll
[2009.09.17 20:12:35 | 00,000,547 | —- | C] () — C:WINDOWSSystem32ff_vfw.dll.manifest
[2009.09.16 10:47:58 | 00,139,264 | —- | C] () — C:Documents and SettingsАдминистраторLocal SettingsApplication DataDCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.09.16 10:33:02 | 00,001,212 | —- | C] () — C:WINDOWSSystem32OEMINFO.INI
[2009.09.16 10:32:54 | 00,717,296 | —- | C] () — C:WINDOWSSystem32driverssptd.sys
[2009.09.16 10:29:19 | 00,002,071 | —- | C] () — C:WINDOWSSystem32wul_lng.ini
[2009.09.16 10:29:19 | 00,001,320 | —- | C] () — C:WINDOWSSystem32pkey_lng.ini
[2008.03.24 16:13:42 | 00,002,226 | —- | C] () — C:WINDOWSSystem32PreSetup.ini
[2007.01.16 17:03:28 | 00,169,984 | —- | C] () — C:WINDOWSSystem32Un7z.dll========== Files — Unicode (All) ==========
[2009.10.27 16:59:18 | 00,095,232 | —- | M] ()(C:Documents and SettingsАдминистраторМои документыФедера?льный зако?н Росси?йской Федера?ции.doc) — C:Documents and SettingsАдминистраторМои документыФедера́льный зако́н Росси́йской Федера́ции.doc
[2009.10.27 16:59:17 | 00,095,232 | —- | C] ()(C:Documents and SettingsАдминистраторМои документыФедера?льный зако?н Росси?йской Федера?ции.doc) — C:Documents and SettingsАдминистраторМои документыФедера́льный зако́н Росси́йской Федера́ции.docOTL Extras logfile created on: 03.12.2009 0:36:36 — Run 1
OTL by OldTimer — Version 3.1.11.4 Folder = D:
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) — Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000419 | Country: Россия | Language: RUS | Date Format: dd.MM.yyyy1,25 Gb Total Physical Memory | 0,71 Gb Available Physical Memory | 57,22% Memory free
2,98 Gb Paging File | 2,56 Gb Available in Paging File | 85,91% Paging File free
Paging file location(s): C:pagefile.sys 1920 3840 [binary data]%SystemDrive% = C: | %SystemRoot% = C:WINDOWS | %ProgramFiles% = C:Program Files
Drive C: | 19,99 Gb Total Space | 3,66 Gb Free Space | 18,28% Space Free | Partition Type: FAT32
Drive D: | 149,00 Gb Total Space | 4,29 Gb Free Space | 2,88% Space Free | Partition Type: FAT32
Drive E: | 17,27 Gb Total Space | 11,07 Gb Free Space | 64,11% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loadedComputer Name: MICROSOF-3890C7
Current User Name: Администратор
Logged in as Administrator.Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINESOFTWAREClasses]
.chm [@ = chm.file] — «%SYSTEMROOT%hh.exe» %1
.cpl [@ = cplfile] — C:WINDOWSSystem32shell32.dll (Корпорация Майкрософт)
.hlp [@ = hlpfile] — C:WINDOWSSystem32winhlp32.exe (Корпорация Майкрософт)
.html [@ = Opera.HTML] — C:Program FilesOperaOpera.exe (Opera Software)
.inf [@ = inffile] — C:WINDOWSSystem32NOTEPAD.EXE (Корпорация Майкрософт)
.ini [@ = inifile] — C:WINDOWSSystem32NOTEPAD.EXE (Корпорация Майкрософт)
.reg [@ = regfile] — C:WINDOWSregedit.exe (Корпорация Майкрософт)
.txt [@ = txtfile] — C:WINDOWSSystem32NOTEPAD.EXE (Корпорация Майкрософт)========== Shell Spawning ==========
[HKEY_LOCAL_MACHINESOFTWAREClassesshell[command]command]
batfile [edit] — %SystemRoot%System32NOTEPAD.EXE %1 (Корпорация Майкрософт)
batfile [open] — «%1» %*
batfile [print] — %SystemRoot%System32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
chm.file [open] — «%SYSTEMROOT%hh.exe» %1
cmdfile [edit] — %SystemRoot%System32NOTEPAD.EXE %1 (Корпорация Майкрософт)
cmdfile [open] — «%1» %*
cmdfile [print] — %SystemRoot%System32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
comfile [open] — «%1» %*
cplfile [cplopen] — rundll32.exe shell32.dll,Control_RunDLL «%1»,%* (Корпорация Майкрософт)
exefile [open] — «%1» %*
helpfile [open] — winhlp32.exe %1 (Корпорация Майкрософт)
hlpfile [open] — %SystemRoot%System32winhlp32.exe %1 (Корпорация Майкрософт)
htmlfile [edit] — Reg Error: Key error.
htmlfile [open] — «C:Program FilesInternet ExplorerIEXPLORE.EXE» -nohome (Microsoft Corporation)
htmlfile [opennew] — «C:Program FilesInternet ExplorerIEXPLORE.EXE» %1 (Microsoft Corporation)
http [open] — «C:Program FilesInternet ExplorerIEXPLORE.EXE» -nohome (Microsoft Corporation)
https [open] — «C:Program FilesOperaopera.exe» (Opera Software)
inffile [install] — %SystemRoot%System32rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1 (Корпорация Майкрософт)
inffile [open] — %SystemRoot%System32NOTEPAD.EXE %1 (Корпорация Майкрософт)
inffile [print] — %SystemRoot%System32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
inifile [open] — %SystemRoot%System32NOTEPAD.EXE %1 (Корпорация Майкрософт)
inifile [print] — %SystemRoot%System32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
jsfile [edit] — %SystemRoot%System32Notepad.exe %1 (Корпорация Майкрософт)
jsfile [print] — %SystemRoot%System32Notepad.exe /p %1 (Корпорация Майкрософт)
jsefile [edit] — %SystemRoot%System32Notepad.exe %1 (Корпорация Майкрософт)
jsefile [print] — %SystemRoot%System32Notepad.exe /p %1 (Корпорация Майкрософт)
piffile [open] — «%1» %*
regfile [edit] — %SystemRoot%system32NOTEPAD.EXE %1 (Корпорация Майкрософт)
regfile [open] — regedit.exe «%1» (Корпорация Майкрософт)
regfile [merge] — Reg Error: Key error.
regfile [print] — %SystemRoot%system32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
scrfile [config] — «%1»
scrfile [install] — rundll32.exe desk.cpl,InstallScreenSaver %l (Корпорация Майкрософт)
scrfile [open] — «%1» /S
txtfile [edit] — Reg Error: Key error.
txtfile [open] — %SystemRoot%system32NOTEPAD.EXE %1 (Корпорация Майкрософт)
txtfile [print] — %SystemRoot%system32NOTEPAD.EXE /p %1 (Корпорация Майкрософт)
txtfile [printto] — %SystemRoot%system32notepad.exe /pt «%1» «%2» «%3» «%4» (Корпорация Майкрософт)
vbefile [edit] — %SystemRoot%System32Notepad.exe %1 (Корпорация Майкрософт)
vbefile [print] — %SystemRoot%System32Notepad.exe /p %1 (Корпорация Майкрософт)
vbsfile [edit] — %SystemRoot%System32Notepad.exe %1 (Корпорация Майкрософт)
vbsfile [print] — %SystemRoot%System32Notepad.exe /p %1 (Корпорация Майкрософт)
wsffile [edit] — %SystemRoot%System32Notepad.exe %1 (Корпорация Майкрософт)
wsffile [print] — %SystemRoot%System32Notepad.exe /p %1 (Корпорация Майкрософт)
Unknown [openas] — %SystemRoot%system32rundll32.exe %SystemRoot%system32shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] — «C:Program FilesVideoLANVLCvlc.exe» —started-from-file —playlist-enqueue «%1» ()
Directory [find] — %SystemRoot%Explorer.exe (Корпорация Майкрософт)
Directory [PlayWithVLC] — «C:Program FilesVideoLANVLCvlc.exe» —started-from-file —no-playlist-enqueue «%1» ()
Directory [Winamp.Bookmark] — «C:Program FilesWinampwinamp.exe» /BOOKMARK «%1» (Nullsoft)
Directory [Winamp.Enqueue] — «C:Program FilesWinampwinamp.exe» /ADD «%1» (Nullsoft)
Directory [Winamp.Play] — «C:Program FilesWinampwinamp.exe» «%1» (Nullsoft)
Folder [open] — %SystemRoot%Explorer.exe /idlist,%I,%L (Корпорация Майкрософт)
Folder [explore] — %SystemRoot%Explorer.exe /e,/idlist,%I,%L (Корпорация Майкрософт)
Drive [find] — %SystemRoot%Explorer.exe (Корпорация Майкрософт)
Applicationsiexplore.exe [open] — «C:Program FilesInternet ExplorerIEXPLORE.EXE» %1 (Microsoft Corporation)
CLSID{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] — «%programfiles%internet exploreriexplore.exe»========== Security Center Settings ==========
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center]
«FirstRunDisabled» = 1
«FirewallDisableNotify» = 0
«FirewallOverride» = 1
«UpdatesDisableNotify» = 0
«UpdatesOverride» = 1
«AntiVirusDisableNotify» = 0
«AntiVirusOverride» = 1[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoring]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringAhnlabAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringKasperskyAntiVirus]
«DisableMonitoring» = 1
«» =[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringMcAfeeAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringMcAfeeFirewall]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringPandaAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringPandaFirewall]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringSophosAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringSymantecAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringSymantecFirewall]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringTinyFirewall]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringTrendAntiVirus]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringTrendFirewall]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterMonitoringZoneLabsFirewall]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfile]
«EnableFirewall» = 0
«DisableNotifications» = 1[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfileGloballyOpenPortsList]
«139:TCP» = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
«445:TCP» = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
«137:UDP» = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
«138:UDP» = 138:UDP:*:Enabled:@xpsp2res.dll,-22002[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
«EnableFirewall» = 0
«DisableNotifications» = 1[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileGloballyOpenPortsList]
«139:TCP» = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
«445:TCP» = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
«137:UDP» = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
«138:UDP» = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
«1900:UDP» = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
«2869:TCP» = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyDomainProfileAuthorizedApplicationsList]
«%windir%system32sessmgr.exe» = %windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 — (Корпорация Майкрософт)[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfileAuthorizedApplicationsList]
«%windir%system32sessmgr.exe» = %windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 — (Корпорация Майкрософт)
«C:Program FilesOperaOPERA.EXE» = C:Program FilesOperaOPERA.EXE:*:Enabled:Opera Internet Browser — (Opera Software)========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall]
«{0CCD0C31-8D64-40C3-B71E-C499AFA86A87}» = FeelRO Client Healer
«{14D08502-FEE4-40E5-90D3-8A967A1D8BA2}» = Readiris Pro 10
«{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}» = Microsoft .NET Framework 1.1 Russian Language Pack
«{3248F0A8-6813-11D6-A77B-00B0D0160060}» = Java(TM) 6 Update 6
«{350C9419-3D7C-4EE8-BAA9-00BCB3D54227}» = WebFldrs XP
«{6580C5A3-2336-4EC5-85F1-3448C5F6208A}» = Антивирус Касперского 2009
«{690BE098-6D0D-493D-B079-BD7E8F81A141}» = Opera 10.10
«{6D9A7CEE-054A-437D-99EF-DD7C77E001FD}» = WebMoney Keeper Classic 3.7.0.1
«{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}» = Microsoft .NET Framework 2.0
«{8AA037A8-E104-493A-A962-8D58535A0198}» = MySQL Server 5.0
«{90F1943D-EA4A-4460-B59F-30023F3BA69A}» = SmarThru 4
«{91110419-6000-11D3-8CFE-0050048383C9}» = Microsoft Office XP (профессиональный выпуск)
«{A49F249F-0C91-497F-86DF-B2585E8E76B7}» = Microsoft Visual C++ 2005 Redistributable
«{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}» = Microsoft .NET Framework 1.1
«{D103C4BA-F905-437A-8049-DB24763BBE36}» = Skype™ 4.1
«7-Zip» = 7-Zip 4.65
«Adobe Flash Player ActiveX» = Adobe Flash Player ActiveX
«Adobe Flash Player Plugin» = Adobe Flash Player 10 Plugin
«ATI Display Driver» = ATI Display Driver
«eMusic Promotion» = 50 FREE MP3s +1 Free Audiobook!
«HashTab» = HashTab 2.0.8
«IDNMitigationAPIs» = Microsoft Internationalized Domain Names Mitigation APIs
«ie7» = Windows Internet Explorer 7
«InstallWIX_{6580C5A3-2336-4EC5-85F1-3448C5F6208A}» = Антивирус Касперского 2009
«IrfanView» = IrfanView (remove only)
«KLiteCodecPack_is1» = K-Lite Mega Codec Pack 5.1.0
«Microsoft .NET Framework 1.1 (1033)» = Microsoft .NET Framework 1.1
«Microsoft .NET Framework 2.0» = Microsoft .NET Framework 2.0
«MSCompPackV1» = Microsoft Compression Client Pack 1.0 for Windows XP
«NLSDownlevelMapping» = Microsoft National Language Support Downlevel APIs
«Path2Clipboard» = Path2Clipboard 1.0.7.67
«PremiumSoft Navicat 8.2 for MySQL_is1» = PremiumSoft Navicat 8.2 for MySQL
«Punto Switcher 3.1» = Punto Switcher 3.1
«Samsung SCX-4200 Series» = Samsung SCX-4200 Series
«uTorrent» = µTorrent
«Vista Drive Icon_addon» = Vista Drive Icon
«VLC media player» = VLC media player 1.0.1
«WebMoney Agent» = WebMoney Agent
«WGAKIT» = Windows Genuine Advantage Validation Kit
«Winamp» = Winamp
«Windows Media Format Runtime» = Windows Media Format 11 runtime
«Windows Media Player» = Проигрыватель Windows Media 11
«WinRAR archiver» = WinRAR archiver
«WMFDist11» = Windows Media Format 11 runtime
«wmp11» = Windows Media Player 11
«Wudf01000» = Microsoft User-Mode Driver Framework Feature Pack 1.0
«Готовый сервер от [west39]s.t.a.r.s_is1» = Версия 2.0========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionUninstall]
«QIP Infium» = QIP Infium 2.0.9030 RC4
«ReGetDx» = ReGet Deluxe========== Last 10 Event Log Errors ==========
[ Application Events ]
Error — 29.09.2009 3:08:46 | Computer Name = MICROSOF-3890C7 | Source = PerfNet | ID = 2004
Description = Не удалось открыть службу сервера. Данные производительности сервера
не будут возвращены. В данных находится возвращенный код ошибки — в DWORD 0.Error — 01.10.2009 12:34:22 | Computer Name = MICROSOF-3890C7 | Source = PerfNet | ID = 2004
Description = Не удалось открыть службу сервера. Данные производительности сервера
не будут возвращены. В данных находится возвращенный код ошибки — в DWORD 0.Error — 01.10.2009 12:37:32 | Computer Name = MICROSOF-3890C7 | Source = PerfNet | ID = 2004
Description = Не удалось открыть службу сервера. Данные производительности сервера
не будут возвращены. В данных находится возвращенный код ошибки — в DWORD 0.Error — 01.10.2009 12:45:08 | Computer Name = MICROSOF-3890C7 | Source = PerfNet | ID = 2004
Description = Не удалось открыть службу сервера. Данные производительности сервера
не будут возвращены. В данных находится возвращенный код ошибки — в DWORD 0.Error — 25.10.2009 3:21:10 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Возврат из операции произошел из-за превышения времени ожидания.Error — 25.10.2009 3:21:10 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Указанный сервер не может выполнить требуемую операцию.Error — 07.11.2009 15:10:51 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Возврат из операции произошел из-за превышения времени ожидания.Error — 07.11.2009 15:10:51 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Указанный сервер не может выполнить требуемую операцию.Error — 10.11.2009 9:20:56 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Возврат из операции произошел из-за превышения времени ожидания.Error — 10.11.2009 9:20:56 | Computer Name = MICROSOF-3890C7 | Source = crypt32 | ID = 131080
Description = Ошибка получения автоматического обновления последовательного номера
стороннего корневого списка из:
с кодом ошибки: Указанный сервер не может выполнить требуемую операцию.[ System Events ]
Error — 01.12.2009 20:04:33 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7034
Description = Служба «Службы терминалов» неожиданно прервана. Это произошло (раз):
1.Error — 01.12.2009 20:10:41 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7022
Description = Служба «Kaspersky Anti-Virus» зависла при запуске.Error — 01.12.2009 20:16:24 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7031
Description = Служба Запуск серверных процессов DCOM была неожиданно завершена.
Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через
60000 мсек: Перезагрузите компьютер.Error — 01.12.2009 20:16:24 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7034
Description = Служба «Службы терминалов» неожиданно прервана. Это произошло (раз):
1.Error — 02.12.2009 5:24:38 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7022
Description = Служба «Kaspersky Anti-Virus» зависла при запуске.Error — 02.12.2009 5:58:15 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7031
Description = Служба Запуск серверных процессов DCOM была неожиданно завершена.
Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через
60000 мсек: Перезагрузите компьютер.Error — 02.12.2009 5:58:15 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7034
Description = Служба «Службы терминалов» неожиданно прервана. Это произошло (раз):
1.Error — 02.12.2009 6:55:44 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7034
Description = Служба «MySQL» неожиданно прервана. Это произошло (раз): 1.Error — 02.12.2009 11:55:59 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7031
Description = Служба Запуск серверных процессов DCOM была неожиданно завершена.
Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через
60000 мсек: Перезагрузите компьютер.Error — 02.12.2009 17:06:27 | Computer Name = MICROSOF-3890C7 | Source = Service Control Manager | ID = 7031
Description = Служба Запуск серверных процессов DCOM была неожиданно завершена.
Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через
60000 мсек: Перезагрузите компьютер.Логи выглядят нормально.
проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
- Для ответа в этой теме необходимо авторизоваться.
