- This topic has 3 ответа, 2 участника, and was last updated 16 years, 3 months назад by
.
-
Сообщения
-
не стал создавать новую тему, так как натолкнулся на эту в гоогле
проблема в следующем:
кмьпютер стал долго загружаться, проверил авторан и обнаружил xInsIDE.exe
стоит нод32 с актуальными базами, после проверки combofix выдал след файл -отчет:
ComboFix 09-01-21.04 — Admin 2009-01-23 20:26:39.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2047.1513 [GMT 3:00]
Running from: c:documents and settingsAdminРабочий столComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: Персональный файервол ESET *enabled*
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowsIE4 Error Log.txt
c:windowssvchost.ini.
((((((((((((((((((((((((( Files Created from 2008-12-23 to 2009-01-23 )))))))))))))))))))))))))))))))
.2009-01-20 17:27 . 2009-01-20 17:35
d
c:program filesuTorrent
2009-01-20 17:27 . 2009-01-23 20:27d
c:documents and settingsAdminApplication DatauTorrent
2009-01-16 14:37 . 2009-01-16 14:37d
c:program filesATI Technologies
2009-01-10 16:54 . 2009-01-10 16:54d
c:documents and settingsAdminApplication DataApple Computer
2009-01-10 15:22 . 2009-01-16 22:21 54,156 —ah
c:windowsQTFont.qfn
2009-01-10 15:22 . 2009-01-10 15:22 1,409 —a
c:windowsQTFont.for
2008-12-29 15:16 . 2008-12-29 15:16d
c:program filesFoxit Software
2008-12-29 15:16 . 2008-12-29 15:16d
c:program filesAskBarDis
2008-12-29 15:16 . 2008-12-29 15:16d
c:documents and settingsAdminApplication DataFoxit
2008-12-28 13:23 . 2008-12-28 13:23d—h
c:windowsPIF.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-23 15:57 644 —-a-w c:documents and settingsAdminApplication Dataaldea.dat
2009-01-23 14:56 202,040 —-a-w c:windowssystem32PnkBstrB.exe
2009-01-23 14:51
d
w c:program filesSpeedFan
2009-01-22 19:07 137,688 —-a-w c:windowssystem32driversPnkBstrK.sys
2009-01-16 11:43
d—h—w c:program filesInstallShield Installation Information
2008-12-26 09:36
d
w c:program filesESET
2008-12-19 09:02 66,872 —-a-w c:windowssystem32PnkBstrA.exe
2008-12-19 09:02 22,328 —-a-w c:documents and settingsAdminApplication DataPnkBstrK.sys
2008-12-19 09:02 2,250,024 —-a-w c:windowssystem32pbsvc.exe
2008-12-14 12:30
d
w c:documents and settingsAdminApplication DataInstallShield
2008-12-09 13:52
d
w c:documents and settingsAdminApplication DataAuslogics
2008-12-09 12:41
d
w c:documents and settingsAdminApplication DataESET
2008-12-09 12:40
d
w c:documents and settingsAll UsersApplication DataESET
2008-12-09 11:15
d
w c:program filesAuslogics
2008-12-06 17:00
d
w c:documents and settingsAdminApplication DataQIP.Online
2008-11-23 12:50
d
w c:documents and settingsAdminApplication DataAldea
2008-11-01 14:16 107,888 —-a-w c:windowssystem32CmdLineExt.dll
2008-11-01 13:43 2,814 —-a-w c:windowssystem32ealregsnapshot1.reg
2006-06-23 22:48 32,768 -c—a-r c:windowsinfUpdateUSB.exe
.
Sigcheck
2007-11-27 15:16 578560 5231f1983829611637e9493105e84751 c:windowssystem32user32.dll2007-11-27 15:37 360576 6ebeae64113900f24318b02d3a87c112 c:windowssystem32driverstcpip.sys
2007-11-27 18:16 2158592 159e42007b9030b3dfe525251d4f5585 c:windowssystem32ntkrnlpa.exe
2007-11-25 17:15 2278912 61a3571d0a6550623405bb4103f4cca5 c:windowssystem32ntoskrnl.exe
2007-11-27 15:15 1608704 16577d75e24b75c7d34fd955f8f9b732 c:windowsexplorer.exe
2007-11-27 15:15 30208 ba72689de7721cc6a4414c5c92b43302 c:windowssystem32ctfmon.exe
2007-11-27 15:16 80216 796678ab414abd87b2d5c4baeb236859 c:windowssystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 12:58 333192 —a
c:program filesAskBarDisbarbinaskBar.dll[HKEY_LOCAL_MACHINE~Browser Helper Objects{B8F88615-A49E-4443-A26F-E97379BE1B1A}]
2008-11-23 04:32 572416 —a
c:docume~1AdminAPPLIC~1AldeaAldea.dll[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3041d03e-fd4b-44e0-b742-2d9b88305f98}»= «c:program filesAskBarDisbarbinaskBar.dll» [2008-11-18 333192][HKEY_CLASSES_ROOTclsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOTTypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{3041D03E-FD4B-44E0-B742-2D9B88305F98}»= «c:program filesAskBarDisbarbinaskBar.dll» [2008-11-18 333192][HKEY_CLASSES_ROOTclsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOTTypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«LClock»=»c:program filesLClocklclock.exe» [2004-09-19 65536][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«UnlockerAssistant»=»c:program filesUnlockerUnlockerAssistant.exe» [2008-05-02 15872]
«Ai Nap»=»c:program filesASUSAI SuiteAiNapAiNap.exe» [2007-04-09 1423360]
«RivaTunerStartupDaemon»=»c:program filesRivaTuner v2.11RivaTuner.exe» [2008-09-16 2715648]
«egui»=»c:program filesESETESET Smart Securityegui.exe» [2008-08-18 1447168]
«ATIPTA»=»atiptaxx.exe» [2007-03-28 c:windowssystem32atiptaxx.exe]
«ATIModeChange»=»Ati2mdxx.exe» [2008-09-24 c:windowssystem32Ati2mdxx.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2007-07-02 132608][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2007-11-27 c:windowssystem32advpack.dll]
«IE7_012″=»advpack.dll» [2007-11-27 c:windowssystem32advpack.dll]c:documents and settingsAdminѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
SpeedFan.lnk — c:program filesSpeedFanspeedfan.exe [2008-11-21 3835904][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«DisableStatusMessages»= 1 (0x1)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionrun-]
«AlcoholAutomount»=»c:program filesAlcohol SoftAlcohol 120axcmd.exe» /automount
«Download Master»=c:program filesDownload Masterdmaster.exe -autorun[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun-]
«LiveMonitor»=c:program filesMSILive Update 3LMonitor.exe
«KernelFaultCheck»=%systemroot%system32dumprep 0 -k
«36X Raid Configurer»=c:windowssystem32xRaidSetup.exe boot
«RTHDCPL»=RTHDCPL.EXE
«NeroFilterCheck»=c:windowssystem32NeroCheck.exe
«QuickTime Task»=»c:program filesQuickTimeQTTask.exe» -atboottime[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\sandra.exe»=
«c:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\RpcSandraSrv.exe»=
«c:\Program Files\SiSoftware\SiSoftware Sandra Pro Home 2007.SP1\Win32\RpcDataSrv.exe»=
«d:\Games\CD4\iw3mp.exe»=
«d:\Games\FarCray\Far Cry 2\bin\FarCry2.exe»=
«d:\Games\FarCray\Far Cry 2\bin\FC2Launcher.exe»=
«d:\Games\FarCray\Far Cry 2\bin\FC2Editor.exe»=
«c:\WINDOWS\system32\PnkBstrA.exe»=
«c:\WINDOWS\system32\PnkBstrB.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileIcmpSettings]
«AllowInboundEchoRequest»= 1 (0x1)R0 pe3agvgb;Gothic3 Environment Driver (pe3agvgb);c:windowssystem32driverspe3agvgb.sys [2007-11-14 64624]
R0 ps7agvgb;Gothic3 Synchronization Driver (ps7agvgb);c:windowssystem32driversps7agvgb.sys [2007-11-14 68216]
R0 sfdrv02;FrontLine Environment Driver (v2);c:windowssystem32driverssfdrv02.sys [2006-09-11 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:windowssystem32driverssfsync05.sys [2006-08-11 59776]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:windowssystem32driversatl01_xp.sys [2007-12-24 38656]
R4 ekrn;Eset Service;c:program filesESETESET Smart Securityekrn.exe [2008-08-18 468224]
S1 SysTool;SysTool Overclocking Utility;c:windowssystem32driversSysTool.sys [2006-11-10 24064]
S3 NVKEYUSB;Guardant Stealth I/II USB Key;c:windowssystem32DRIVERSNVKEYUSB.SYS —> c:windowssystem32DRIVERSNVKEYUSB.SYS [?]
S4 pr2agvgb;Gothic3 Drivers Auto Removal (pr2agvgb);c:windowssystem32pr2agvgb.exe svc —> c:windowssystem32pr2agvgb.exe svc [?]
S4 sfrem02;FrontLine Drivers Auto Removal (v2);c:windowssystem32sfrem02.exe svc —> c:windowssystem32sfrem02.exe svc [?]— Other Services/Drivers In Memory —
*NewlyCreated* — PNKBSTRB
*NewlyCreated* — SRSERVICE
*NewlyCreated* — UJE5NDEZ
*NewlyCreated* — UTE5NDEZ
*Deregistered* — uje5ndez
*Deregistered* — ute5ndez
.
Contents of the ‘Scheduled Tasks’ folder2009-01-20 c:windowsTasksAppleSoftwareUpdate.job
— c:program filesApple Software UpdateSoftwareUpdate.exe [2007-08-29 13:57]
.
— — — — ORPHANS REMOVED — — — —HKU-Default-Run-Punto Switcher — c:program filesPunto Switcherps.exe
HKLM-Explorer_Run-csrcs — c:windowssystem32csrcs.exe.
Supplementary Scan
.
uStart Page = about:blank
mStart Page = about:blank
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
TCP: {C0C7FD03-60D8-4FED-BCC5-082A59F12988} = 212.33.225.211 212.33.224.131
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfilesggxgvs9g.default
FF — plugin: c:program filesMozilla Firefoxpluginsnpagent.dll
FF — plugin: c:program filesMozilla FirefoxpluginsnpFoxitReaderPlugin.dll
FF — plugin: c:program filesMozilla Firefoxpluginsnpqtplugin8.dll
FF — plugin: c:program filesQuickTimePluginsnpqtplugin8.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-23 20:27:24
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1484)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll— — — — — — — > ‘lsass.exe'(1540)
c:windowssystem32setupapi.dll
.
Completion time: 2009-01-23 20:28:18
ComboFix-quarantined-files.txt 2009-01-23 17:28:16Pre-Run: 3 666 800 640 байт свободно
Post-Run: 3,658,182,656 байт свободно201
все ли в порядке ??
Здравствуйте, добро пожаловать на Spyware-ru форум.
Судя по доступной информации файл xInsIDE.exe (почитайте эту (eng) страничку) не является вирусом или трояном.
Но тем не менее, вы запустили combofix не зря, программа удалила один троян. В данный момент лог выглядит нормально.
Проблем с компьютером нет ?Прекрасно.
Несколько завершающих действий.Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
