Посмотрите, плиз, логи ComboFix и RIST

[Muromets]

Nod32 выдал сообщение о заражении Wigon HZ и Spy.delf.NOL троянами. С помощью ComboFix вроде как решил проблему, но большая просьба посмотреть логи, может, где какая гадость осталась. Заранее спасибо…

==================================================================================================================

ComboFix 09-01-05.01 — Muromets 2009-01-05 18:56:20.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.300 [GMT 3:00]
Running from: d:documents and settingsMurometsРабочий столComboFix.exe
Command switches used :: d:documents and settingsMurometsРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Антивирусная система Eset NOD32 2.51 *On-access scanning disabled* (Outdated)
* Created a new restore point
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:documents and settingsMurometsMuromets.exe
d:windowssorry.exe

.
((((((((((((((((((((((((( Files Created from 2008-12-05 to 2009-01-05 )))))))))))))))))))))))))))))))
.

2009-01-05 17:36 . 2009-01-05 17:36

d

---

d:documents and settingsMurometsApplication DataLavasoft
2009-01-05 17:35 . 2009-01-05 17:35 d

---

d:program filesLavasoft
2009-01-05 16:05 . 2009-01-05 16:05 d—hs—- D:FOUND.001
2009-01-05 16:03 . 2009-01-05 16:03 2,195,456 —ahs—- d:windowssystem32twex.exe
2008-12-20 12:08 . 2008-12-20 12:08 d—h

---

d:windowsPIF
2008-12-20 12:08 . 2008-12-20 12:08 d

---

d:program filesCommon FilesBlizzard Entertainment
2008-12-16 19:23 . 2008-12-16 19:23 45,056 —a

---

d:windowsNCUNINST.EXE
2008-12-16 19:21 . 2008-12-16 19:21 d

---

d:program filesCommon FilesSWF Studio
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:program filesICQLite
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:program filesCommon FilesICQ
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:documents and settingsMurometsApplication DataICQ

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 19:31

---

d

---

w d:program filesCommon FilesWise Installation Wizard
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32ctfmon.exe» [2004-08-18 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»NvQTwk» [X]
«nod32kui»=»d:program filesEsetnod32kui.exe» [2008-09-19 921600]
«Adobe Reader Speed Launcher»=»d:program filesAdobeReader 9.0ReaderReader_sl.exe» [2008-06-12 34672]
«nwiz»=»nwiz.exe» [2002-07-30 d:windowssystem32nwiz.exe]
«SoundMan»=»SOUNDMAN.EXE» [2002-08-02 d:windowsSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2004-08-18 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«msacm.divxa32″= divxa32.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\Program Files\Orbitdownloader\orbitdm.exe»=
«d:\Program Files\Orbitdownloader\orbitnet.exe»=
«d:\Program Files\ICQLite\ICQ.exe»=
«d:\WINDOWS\system32\userinit.exe»=

S4 fips32cup;fips32cup;??d:windowssystem32driversfips32cup.sys —> d:windowssystem32driversfips32cup.sys [?]
S4 nicsk32;nicsk32;??d:windowssystem32driversnicsk32.sys —> d:windowssystem32driversnicsk32.sys [?]
S4 securentm;securentm;??d:windowssystem32driverssecurentm.sys —> d:windowssystem32driverssecurentm.sys [?]
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-Muromets — d:documents and settingsMurometsMuromets.exe

.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/
IE: &Download by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/201
IE: &Grab video by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/204
IE: Do&wnload selected by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/203
IE: Down&load all by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/202
LSP: d:windowssystem32imon.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-05 18:57:20
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(516)
d:windowssystem32imon.dll
d:program filesEsetpr_imon.dll
.
Completion time: 2009-01-05 18:57:49
ComboFix-quarantined-files.txt 2009-01-05 15:57:48

Pre-Run: 8 661 860 352 байт свободно
Post-Run: 8,690,434,048 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(2)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

104

=================================================================================================================
=================================================================================================================

Logfile of random’s system information tool 1.05 (written by random/random)
Run by Muromets at 2009-01-05 19:58:09
Microsoft Windows XP Professional Service Pack 2
System drive D: has 9 GB (16%) free of 56 GB
Total RAM: 511 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:21, on 05.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSExplorer.EXE
D:WINDOWSsystem32spoolsv.exe
D:WINDOWSSOUNDMAN.EXE
D:Program FilesEsetnod32kui.exe
D:WINDOWSsystem32ctfmon.exe
D:Program FilesEsetnod32krn.exe
D:WINDOWSsystem32nvsvc32.exe
D:WINDOWSsystem32svchost.exe
D:Program FilesInternet ExplorerIEXPLORE.EXE
D:Documents and SettingsMurometsРабочий столRSIT.exe
D:Program Filestrend microMuromets.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: btorbit.com — {000123B4-9B42-4900-B3F7-F4B073EFC214} — D:Program FilesOrbitdownloaderorbitcth.dll
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 — BHO: AcroIEHelperStub — {18DF081C-E8AD-4283-A596-FA578C2EBDC3} — D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 — BHO: Google Toolbar Helper — {AA58ED58-01DD-4d91-8333-CF10577473F7} — d:program filesgooglegoogletoolbar1.dll
O3 — Toolbar: &Google — {2318C2B1-4965-11d4-9B18-009027A5CD4F} — d:program filesgooglegoogletoolbar1.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [nod32kui] «D:Program FilesEsetnod32kui.exe» /WAITSERVICE
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «D:Program FilesAdobeReader 9.0ReaderReader_sl.exe»
O4 — HKCU..Run: [CTFMON.EXE] D:WINDOWSsystem32ctfmon.exe
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] D:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O8 — Extra context menu item: &Download by Orbit — res://D:Program FilesOrbitdownloaderorbitmxt.dll/201
O8 — Extra context menu item: &Grab video by Orbit — res://D:Program FilesOrbitdownloaderorbitmxt.dll/204
O8 — Extra context menu item: Do&wnload selected by Orbit — res://D:Program FilesOrbitdownloaderorbitmxt.dll/203
O8 — Extra context menu item: Down&load all by Orbit — res://D:Program FilesOrbitdownloaderorbitmxt.dll/202
O9 — Extra button: ICQ Lite — {E59EB121-F339-4851-A3BA-FE49C35617C2} — ICQ.exe (file missing)
O9 — Extra ‘Tools’ menuitem: ICQ Lite — {E59EB121-F339-4851-A3BA-FE49C35617C2} — ICQ.exe (file missing)
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — D:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — D:Program FilesMessengermsmsgs.exe
O12 — Plugin for .spop: D:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 — DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) — http://vkontakte.ru/uploader/ImageUploader4.cab
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — D:WINDOWSsystem32services.exe
O23 — Service: Google Updater Service (gusvc) — Google — D:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — D:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — D:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NOD32 Kernel Service (NOD32krn) — Eset — D:Program FilesEsetnod32krn.exe
O23 — Service: NVIDIA Driver Helper Service (NVSvc) — NVIDIA Corporation — D:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — D:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — D:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — D:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — D:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — D:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — D:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 5056 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class — D:Program FilesOrbitdownloaderorbitcth.dll [2008-02-25 187512]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper — D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll [2008-06-11 61816]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper — D:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper — d:program filesgooglegoogletoolbar1.dll [2008-09-19 2427968]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} — &Google — d:program filesgooglegoogletoolbar1.dll [2008-09-19 2427968]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=NvQTwk []
«nwiz»=nwiz.exe /install []
«SoundMan»=D:WINDOWSSOUNDMAN.EXE [2002-08-02 46592]
«nod32kui»=D:Program FilesEsetnod32kui.exe [2008-09-19 921600]
«Adobe Reader Speed Launcher»=D:Program FilesAdobeReader 9.0ReaderReader_sl.exe [2008-06-12 34672]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=D:WINDOWSsystem32ctfmon.exe [2004-08-18 15360]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=323
«NoDriveAutoRun»=67108863
«NoDrives»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveAutoRun»=
«NoDriveTypeAutoRun»=
«NoDrives»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«D:Program FilesOrbitdownloaderorbitdm.exe»=»D:Program FilesOrbitdownloaderorbitdm.exe:*:Enabled:Orbit»
«D:Program FilesOrbitdownloaderorbitnet.exe»=»D:Program FilesOrbitdownloaderorbitnet.exe:*:Enabled:Orbit»
«D:Program FilesICQLiteICQ.exe»=»D:Program FilesICQLiteICQ.exe:*:Enabled:ICQ Lite»
«D:WINDOWSsystem32userinit.exe»=»D:WINDOWSsystem32userinit.exe:*:Enabled:ENABLE»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

======List of files/folders created in the last 1 months======

2009-01-05 19:58:10 —-D—- D:Program Filestrend micro
2009-01-05 19:58:09 —-D—- D:rsit
2009-01-05 19:29:29 —-D—- D:ComboFix
2009-01-05 18:57:52 —-D—- D:WINDOWStemp
2009-01-05 18:57:50 —-A—- D:ComboFix.txt
2009-01-05 18:55:22 —-D—- D:WINDOWSERDNT
2009-01-05 17:36:38 —-D—- D:Documents and SettingsMurometsApplication DataLavasoft
2009-01-05 17:35:28 —-D—- D:Program FilesLavasoft
2009-01-05 16:05:00 —-SHD—- D:FOUND.001
2009-01-05 16:03:18 —-ASH—- D:WINDOWSsystem32twex.exe
2008-12-20 12:08:50 —-D—- D:Program FilesCommon FilesBlizzard Entertainment
2008-12-20 12:08:35 —-HD—- D:WINDOWSPIF
2008-12-16 19:23:28 —-A—- D:WINDOWSNCUNINST.EXE
2008-12-16 19:21:19 —-D—- D:Program FilesCommon FilesSWF Studio
2008-12-16 16:30:27 —-D—- D:Program FilesCommon FilesICQ
2008-12-16 16:30:20 —-D—- D:Documents and SettingsMurometsApplication DataICQ
2008-12-16 16:30:04 —-D—- D:Program FilesICQLite

======List of files/folders modified in the last 1 months======

2009-01-05 19:39:06 —-A—- D:WINDOWSSchedLgU.Txt
2009-01-05 18:57:22 —-A—- D:WINDOWSsystem.ini
2009-01-05 18:06:32 —-A—- D:WINDOWSmsicpl.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;Драйвер AMD K7 процессора; D:WINDOWSsystem32DRIVERSamdk7.sys [2004-08-18 41728]
R1 DumaNT;NVIDIA Stereo Helper Service; D:WINDOWSsystem32DRIVERSdumant.sys [2002-07-16 393784]
R1 VIAPFD;VIAPFD; D:WINDOWSSystem32DriversVIAPFD.SYS [2001-12-18 3279]
R1 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; D:WINDOWSSystem32driversws2ifsl.sys [2004-08-18 12032]
R2 AMON;AMON; ??D:WINDOWSsystem32driversamon.sys []
R3 ALCXWDM;Service for Avance AC97 Audio (WDM); D:WINDOWSsystem32driversALCXWDM.SYS [2002-08-02 659228]
R3 nv;nv; D:WINDOWSsystem32DRIVERSnv4_mini.sys [2002-07-30 994650]
R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; D:WINDOWSsystem32DRIVERSR8139n51.SYS [2002-03-26 45568]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; D:WINDOWSsystem32DRIVERSusbehci.sys [2004-08-18 26624]
R3 usbhub;USB2 концентратор; D:WINDOWSsystem32DRIVERSusbhub.sys [2004-08-18 57600]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; D:WINDOWSsystem32DRIVERSusbuhci.sys [2004-08-18 20480]
S1 kbdhid;Драйвер клавиатуры HID; D:WINDOWSsystem32DRIVERSkbdhid.sys [2004-08-17 14848]
S2 fips32cup;fips32cup; ??D:WINDOWSsystem32driversfips32cup.sys []
S2 nicsk32;nicsk32; ??D:WINDOWSsystem32driversnicsk32.sys []
S2 securentm;securentm; ??D:WINDOWSsystem32driverssecurentm.sys []
S3 catchme;catchme; ??D:DOCUME~1MurometsLOCALS~1Tempcatchme.sys []
S3 GMSIPCI;GMSIPCI; ??E:INSTALLGMSIPCI.SYS []
S3 HidUsb;Драйвер класса HID Microsoft; D:WINDOWSsystem32DRIVERShidusb.sys [2001-08-17 9600]
S3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); D:WINDOWSsystem32DRIVERSusbccgp.sys [2004-08-03 31616]
S3 usbscan;Драйвер USB-сканера; D:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]
S3 USBSTOR;Драйвер запоминающих устройств для USB; D:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496]
S4 IntelIde;IntelIde; D:WINDOWSsystem32driversIntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 NOD32krn;NOD32 Kernel Service; D:Program FilesEsetnod32krn.exe [2008-09-19 507904]
R2 NVSvc;NVIDIA Driver Helper Service; D:WINDOWSsystem32nvsvc32.exe [2002-07-30 61440]
S3 gusvc;Google Updater Service; D:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe [2008-09-19 138168]

---

EOF

---

================================================================================================================
================================================================================================================

info.txt logfile of random’s system information tool 1.05 2009-01-05 19:58:22

======Uninstall list======

—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:WINDOWSINFPCHealth.inf
Acrobat.com—>D:Program FilesCommon FilesAdobe AIRVersions1.0Adobe AIR Application Installer.exe -uninstall com.adobe.mauby 4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
Acrobat.com—>MsiExec.exe /I{77DCDCE3-2DED-62F3-8154-05E745472D07}
Ad-Aware SE Professional—>D:PROGRA~1LAVASOFTAD-AWA~1UNWISE.EXE D:PROGRA~1LAVASOFTAD-AWA~1INSTALL.LOG
Adobe Acrobat 5.0—>D:WINDOWSISUNINST.EXE -f»D:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.isu» -c»D:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.dll»
Adobe AIR—>D:Program FilesCommon FilesAdobe AIRVersions1.0Adobe AIR Updater.exe -arp:uninstall
Adobe AIR—>MsiExec.exe /I{00203668-8170-44A0-BE44-B632FA4D780F}
Adobe Flash Player ActiveX—>D:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Reader 9—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A90000000001}
Avance AC’97 Audio—>RunDll32 D:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «D:Program FilesInstallShield Installation Information{FB08F381-6533-4108-B7DD-039E11FBC27E}setup.exe» REMOVE
Google Toolbar for Internet Explorer—>MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer—>regsvr32 /u /s «d:program filesgooglegoogletoolbar1.dll»
HijackThis 2.0.2—>»D:Program Filestrend microHijackThis.exe» /uninstall
ICQ Lite—>»D:Program FilesInstallShield Installation Information{6C13128C-1782-456F-84A4-017CECE259CA}setup.exe» -runfromtemp -l0x0009 -removeonly
K-Lite Codec Pack 3.9.5 (Full)—>»D:Program FilesK-Lite Codec Packunins000.exe»
NOD32 FiX v2.1—>»D:Program FilesEsetunins000.exe»
NVIDIA Windows 2000/XP Display Drivers—>D:WINDOWSsystem32msiuins.exe
NVIDIA Windows 95/98/ME/2000/XP Stereo Drivers—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall.NT 132 D:WINDOWSINFnvstereo.inf
Orbit Downloader—>»D:Program FilesOrbitdownloaderunins000.exe»
PowerDVD—>RunDll32 D:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «D:Program FilesInstallShield Installation Information{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}Setup.exe» -uninstall
RTLSetup 2.50.503—>RunDll32 D:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «D:Program FilesInstallShield Installation Information{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}Setup.exe» -l0x9 REMOVE
Антивирусная система NOD32—>D:Program FilesEsetSetupsetup.exe /UNINSTALL
Архиватор WinRAR (только удаление)—>D:Program FilesWinRARuninstall.exe

======Security center information======

AV: Антивирусная система Eset NOD32 2.51

System event log

Computer Name: MACHINENAME
Event Code: 26
Message: Всплывающее окно приложения: : Machine Check:

Record Number: 5
Source Name: Application Popup
Time Written: 20080920022205.000000+240
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 2
Message: При проверке, что DeviceSerial1 является последовательным портом, обнаружена и будет использоваться прямая очередь.

Record Number: 4
Source Name: Serial
Time Written: 20080920022205.000000+240
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 2
Message: При проверке, что DeviceSerial0 является последовательным портом, обнаружена и будет использоваться прямая очередь.

Record Number: 3
Source Name: Serial
Time Written: 20080920022205.000000+240
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Запущена служба журнала событий.

Record Number: 2
Source Name: EventLog
Time Written: 20080920022144.000000+240
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 2 Uniprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20080920022144.000000+240
Event Type: информация
User:

Application event log

Computer Name: VAGABOND
Event Code: 1000
Message: Счетчики производительности для службы MSDTC (MSDTC) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 5
Source Name: LoadPerf
Time Written: 20080919223102.000000+240
Event Type: информация
User:

Computer Name: VAGABOND
Event Code: 1000
Message: Счетчики производительности для службы TermService (Службы терминалов) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 4
Source Name: LoadPerf
Time Written: 20080919223059.000000+240
Event Type: информация
User:

Computer Name: VAGABOND
Event Code: 1000
Message: Счетчики производительности для службы RemoteAccess (Маршрутизация и удаленный доступ) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 3
Source Name: LoadPerf
Time Written: 20080919222943.000000+240
Event Type: информация
User:

Computer Name: VAGABOND
Event Code: 1000
Message: Счетчики производительности для службы PSched (PSched) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 2
Source Name: LoadPerf
Time Written: 20080919222911.000000+240
Event Type: информация
User:

Computer Name: VAGABOND
Event Code: 1000
Message: Счетчики производительности для службы RSVP (QoS RSVP) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 1
Source Name: LoadPerf
Time Written: 20080919222910.000000+240
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=6
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
«PROCESSOR_REVISION»=0602
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

---

EOF

---

================================================================================================================

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

В общем чисто, но нужно ещё немножко поработать.
Откройте блокнот (Кликните Пуск, Выполнить.В строке ввода введите notepad и нажмите Enter.) и вставьте в него следующий текст:

Driver::

fips32cup

nicsk32

securentm



File::

d:windowssystem32driverssecurentm.sys

d:windowssystem32driversfips32cup.sys

d:windowssystem32driversnicsk32.sys

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Muromets]

Выполнил, вот новый лог:

====================================================================================================================================

ComboFix 09-01-08.01 — Muromets 2009-01-08 21:54:15.2 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.323 [GMT 3:00]
Running from: d:documents and settingsMurometsРабочий столComboFix.exe
Command switches used :: d:documents and settingsMurometsРабочий столCFScript.txt
AV: Антивирусная система Eset NOD32 2.51 *On-access scanning disabled* (Outdated)
* Created a new restore point
* Resident AV is active

FILE ::
d:windowssystem32driversfips32cup.sys
d:windowssystem32driversnicsk32.sys
d:windowssystem32driverssecurentm.sys
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:windowssystem32twex.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Service_fips32cup

---

Service_nicsk32

---

Service_securentm

((((((((((((((((((((((((( Files Created from 2008-12-08 to 2009-01-08 )))))))))))))))))))))))))))))))
.

2009-01-05 19:58 . 2009-01-05 19:58

d

---

D:rsit
2009-01-05 19:58 . 2009-01-05 19:58 d

---

d:program filestrend micro
2009-01-05 19:35 . 2009-01-05 19:35 d—s—- d:documents and settingsMurometsUserData
2009-01-05 17:36 . 2009-01-05 17:36 d

---

d:documents and settingsMurometsApplication DataLavasoft
2009-01-05 17:35 . 2009-01-05 17:35 d

---

d:program filesLavasoft
2009-01-05 16:05 . 2009-01-05 16:05 d—hs—- D:FOUND.001
2008-12-20 12:08 . 2008-12-20 12:08 d—h

---

d:windowsPIF
2008-12-20 12:08 . 2008-12-20 12:08 d

---

d:program filesCommon FilesBlizzard Entertainment
2008-12-16 19:23 . 2008-12-16 19:23 45,056 —a

---

d:windowsNCUNINST.EXE
2008-12-16 19:21 . 2008-12-16 19:21 d

---

d:program filesCommon FilesSWF Studio
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:program filesICQLite
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:program filesCommon FilesICQ
2008-12-16 16:30 . 2008-12-16 16:30 d

---

d:documents and settingsMurometsApplication DataICQ

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 19:31

---

d

---

w d:program filesCommon FilesWise Installation Wizard
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32ctfmon.exe» [2004-08-18 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»NvQTwk» [X]
«nod32kui»=»d:program filesEsetnod32kui.exe» [2008-09-19 921600]
«Adobe Reader Speed Launcher»=»d:program filesAdobeReader 9.0ReaderReader_sl.exe» [2008-06-12 34672]
«nwiz»=»nwiz.exe» [2002-07-30 d:windowssystem32nwiz.exe]
«SoundMan»=»SOUNDMAN.EXE» [2002-08-02 d:windowsSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2004-08-18 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«msacm.divxa32″= divxa32.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:\Program Files\Orbitdownloader\orbitdm.exe»=
«d:\Program Files\Orbitdownloader\orbitnet.exe»=
«d:\Program Files\ICQLite\ICQ.exe»=
«d:\WINDOWS\system32\userinit.exe»=

.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/
IE: &Download by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/201
IE: &Grab video by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/204
IE: Do&wnload selected by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/203
IE: Down&load all by Orbit — d:program filesOrbitdownloaderorbitmxt.dll/202
LSP: d:windowssystem32imon.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-08 21:56:14
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

LOCKED REGISTRY KEYS

---

[HKEY_USERSS-1-5-21-299502267-884357618-839522115-1003SoftwareMicrosoftActiveMoviedevenum{33D9A761-90C8-11D0-BD43-00A0C911CE86}3*NULL*4*NULL*D*NULL*S*NULL*P*NULL* *NULL*G*NULL*r*NULL*o*NULL*u*NULL*p*NULL* *NULL*T*NULL*r*NULL*u*NULL*e*NULL*S*NULL*p*NULL*e*NULL*e*NULL*c*NULL*h*NULL*»!]
«FriendlyName»=»DSP Group TrueSpeech™»
«CLSID»=»{6A08CF80-0E18-11CF-A24D-0020AFD79767}»
«FilterData»=hex:02,00,00,00,00,00,20,00,02,00,00,00,00,00,00,00,30,70,69,33,
00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,30,74,79,33,00,
00,00,00,60,00,00,00,70,00,00,00,31,70,69,33,08,00,00,00,00,00,00,00,01,00,
00,00,00,00,00,00,00,00,00,00,30,74,79,33,00,00,00,00,60,00,00,00,80,00,00,
00,61,75,64,73,00,00,10,00,80,00,00,aa,00,38,9b,71,00,00,00,00,00,00,00,00,
00,00,00,00,00,00,00,00,22,00,00,00,00,00,10,00,80,00,00,aa,00,38,9b,71
«AcmId»=dword:00000022
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(572)
d:windowssystem32imon.dll
d:program filesEsetpr_imon.dll
.

---

Other Running Processes

---

.
d:program filesESETNOD32KRN.EXE
d:windowsSYSTEM32NVSVC32.EXE
.
**************************************************************************
.
Completion time: 2009-01-08 21:56:52 — machine was rebooted [Muromets]
ComboFix2.txt 2009-01-05 15:57:52
ComboFix-quarantined-files.txt 2009-01-08 18:56:52

Pre-Run: 9 478 471 680 байт свободно
Post-Run: 9,643,065,344 байт свободно

122

[Admin]

Лог выглядит нормально, как работает компьютер ?

[Muromets]

Полный порядок, никаких сбоев, спасибо! Можно удалять ComboFix и старые контрольные точки восстановления?

[Admin]

Можно удалять ComboFix и старые контрольные точки восстановления?

Нужно 🙂

Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Muromets]

Большое СПАСИБО за оперативную и качественную помощь!!!

[Автор]

Сообщения