- This topic has 1 ответ, 2 участника, and was last updated 16 years назад by
.
-
Сообщения
-
Сделал тест Комбофикс
ComboFix 09-09-23.02 — Stand-Art 24.09.2009 12:19.2.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.380.1049.18.255.93 [GMT 3:00]
Running from: c:documents and settingsStand-ArtРабочий столComboFix.exe
FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
—- Previous Run
.
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:documents and settingsStand-ArtApplication DataMicrosoftInternet Explorerqipsearchbar.dll
c:windowssystem32ieuinit.inf
c:windowssystem32iosocket.dll
c:windowssystem32mt_32.dll
c:windowssystem32winload.dll.
((((((((((((((((((((((((( Files Created from 2009-08-24 to 2009-09-24 )))))))))))))))))))))))))))))))
.2009-09-24 09:08 . 2009-09-24 09:08
d
w- c:documents and settingsAll UsersApplication DataSUPERAntiSpyware.com
2009-09-24 09:08 . 2009-09-24 09:08
d
w- c:program filesSUPERAntiSpyware
2009-09-24 09:08 . 2009-09-24 09:08
d
w- c:documents and settingsStand-ArtApplication DataSUPERAntiSpyware.com
2009-09-24 09:07 . 2009-09-24 09:07
d
w- c:program filesCommon FilesWise Installation Wizard
2009-09-23 16:10 . 2009-09-23 16:10
d
w- c:program filesOpera
2009-09-20 16:43 . 2009-09-20 16:43
d
w- c:program filesFileZilla FTP Client
2009-09-04 17:27 . 2009-09-04 21:18
d
w- c:documents and settingsStand-ArtApplication DataQuark
2009-09-04 17:26 . 2009-09-09 14:33
d
w- c:program filesQuark
2009-09-04 16:57 . 2008-04-04 15:07 5632 —-a-w- c:windowssystem32udcpm.dll
2009-09-04 16:57 . 2009-09-24 05:51
dc—-r- C:UDC Output Files
2009-09-04 16:57 . 2009-09-04 16:57
d
w- c:program filesUniversal Document Converter.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-22 09:06 . 2008-10-31 19:46
d
w- c:program filesCommon FilesAdobe
2009-09-20 19:28 . 2008-12-04 20:52
d
w- c:documents and settingsStand-ArtApplication DataFileZilla
2009-09-16 10:23 . 2008-10-31 09:01 32048 —-a-w- c:documents and settingsStand-ArtLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-09-06 11:51 . 2008-10-31 19:46
d—h—w- c:program filesInstallShield Installation Information
2009-09-05 20:04 . 2009-04-15 07:36
d
w- c:program filesGoogle
2009-07-31 15:31 . 2009-02-01 11:15
d
w- c:documents and settingsStand-ArtApplication DatauTorrent
.
Sigcheck
[-] 2008-04-14 . B3B5D5855127E240C88451030AAEE76E . 509440 . . [5.1.2600.5512] . . c:windowsSoftwareDistributionDownloada50daa009f8a7e7bb00fe145d2709bd7winlogon.exe
[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-09-24_09.00.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-24 09:08 . 2009-09-24 09:08 65024 c:windowsInstaller{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}IconCDDCBBF15.exe
+ 2009-09-24 09:08 . 2009-09-24 09:08 18944 c:windowsInstaller{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}IconCDDCBBF13.exe
+ 2009-09-24 09:08 . 2009-09-24 09:08 5120 c:windowsInstaller{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}IconCDDCBBF16.exe
+ 2009-09-24 09:08 . 2009-09-24 09:08 1583616 c:windowsInstaller4d810.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{9CB65206-89C4-402c-BA80-02D8C59F9B1D}»= «c:program filesAskTBarSrchAstt1.binA5SRCHAS.DLL» [2009-02-08 57344][HKEY_CLASSES_ROOTclsid{9cb65206-89c4-402c-ba80-02d8c59f9b1d}]
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«SUPERAntiSpyware»=»c:program filesSUPERAntiSpywareSUPERAntiSpyware.exe» [2009-09-15 1998576][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«WinampAgent»=»c:program filesWinampwinampa.exe» [2008-08-03 36352]
«JavaVM»=»c:program filesJavajre1.6.2java.exe» [2009-06-25 45056]
«UDC Integration»=»» [BU][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-2-21 110592]
Adobe Reader Speed Launch.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk — c:program filesMicrosoft OfficeOfficeOSA9.EXE [1999-2-17 65588][hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerShellExecuteHooks]
«{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}»= «c:program filesSUPERAntiSpywareSASSEH.DLL» [2008-05-13 77824][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotify!SASWinLogon]
2009-09-03 12:21 548352 —-a-w- c:program filesSUPERAntiSpywareSASWINLO.dll[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WebServers\usr\local\apache\bin\httpd.exe»=
«c:\Program Files\FileZilla FTP Client\filezilla.exe»=
«d:\Пианино Украина\utorrent.exe»=
«c:\Program Files\QIP Infium\infium.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3275:TCP»= 3275:TCP:xtpudxxR1 SASDIFSV;SASDIFSV;c:program filesSUPERAntiSpywaresasdifsv.sys [15.09.2009 11:42 9968]
R1 SASKUTIL;SASKUTIL;c:program filesSUPERAntiSpywareSASKUTIL.SYS [15.09.2009 11:42 74480]
R3 SASENUM;SASENUM;c:program filesSUPERAntiSpywareSASENUM.SYS [15.09.2009 11:42 7408]
S3 buafyr;buafyr;??c:windowssystem32�2.tmp —> c:windowssystem32�2.tmp [?]HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost — NetSvcs
yhikybi
ujylvvzp
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=22042
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://start.qip.ru/
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: Закачать ВСЕ при помощи Download Master
IE: Закачать при помощи Download Master
IE: Передать на удаленную закачку DM
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-24 12:22
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet001Servicesbuafyr]
«ImagePath»=»??c:windowssystem32�2.tmp»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(612)
c:program filesSUPERAntiSpywareSASWINLO.dll
.
Completion time: 2009-09-24 12:24
ComboFix-quarantined-files.txt 2009-09-24 09:24Pre-Run: 1 103 110 144 байт свободно
Post-Run: 1 086 451 712 байт свободно126 — E O F — 2009-02-08 08:53
Здравствуйте, добро пожаловать на Spyware-ru форум.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
RegLock::
[HKEY_LOCAL_MACHINESystemControlSet001Servicesbuafyr]
Driver::
buafyr
NetSvc::
yhikybi
ujylvvzp
File::
c:windowssystem322.tmpЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Для ответа в этой теме необходимо авторизоваться.
