сайт Одноклассники

[Nana]

Здравствуйте! При заходе на сайт «Одноклассники» система постоянно просит меня ввести код на картинке, мол с целью проверить, — робот я или человек. все это происходит много раз, и все равно сайт нормально не работает. Думаю, какой-то вирус посылает кучу запросов с моего компа. Пыталась искать Cure IT — комп наглухо зависает даже в безопасном режиме. avz ничего не находит. А еще у меня стоит OutPost файрвол+антивирус — тоже ничего. как быть? Помогите! 😥

[Admin]

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.

[Nana]

Здравствуйте! Выкладываю логи.
log.txt
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Елена at 2009-10-23 22:34:38
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 21 GB (35%) free of 60 GB
Total RAM: 2047 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:05, on 23.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:Windowssystem32Dwm.exe
C:Windowssystem32taskeng.exe
C:WindowsExplorer.EXE
C:WindowsSystem32mobsync.exe
C:Program FilesWindows DefenderMSASCui.exe
C:Program FilesRealtekAudioHDARtHDVCpl.exe
C:Program FilesMail.RuAgentmagent.exe
C:WindowsWindowsMobilewmdcBase.exe
C:Windowstsnpstd3.exe
C:Windowsvsnpstd3.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesDownload Masterdmaster.exe
C:Program FilesNetUPUTM5_wintrayutm5_wintray.exe
C:Program FilesHewlett-PackardDigital Imagingbinhpobnz08.exe
C:Program FilesWindows Media Playerwmpnscfg.exe
C:Windowssystem32wbemunsecapp.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Windowssystem32wuauclt.exe
C:Windowsexplorer.exe
C:DownloadsПрограммыRSIT.exe
C:Program Filestrend microЕлена.exe
C:Program FilesSkypeToolbarsSharedSkypeNames.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — C:Program FilesMail.RuAgentMradllnewmrasearch.dll
O2 — BHO: AcroIEHelperStub — {18DF081C-E8AD-4283-A596-FA578C2EBDC3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: DM Bar — {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — C:Program FilesDownload Masterdmbar.dll
O4 — HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide
O4 — HKLM..Run: [RtHDVCpl] C:Program FilesRealtekAudioHDARtHDVCpl.exe
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [OutpostMonitor] C:PROGRA~1AgnitumOUTPOS~1op_mon.exe /tray /noservice
O4 — HKLM..Run: [OutpostFeedBack] «C:Program FilesAgnitumOutpost Security Suite Profeedback.exe» /dump:os_startup
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «C:Program FilesAdobeReader 9.0ReaderReader_sl.exe»
O4 — HKLM..Run: [Windows Mobile-based device management] %windir%WindowsMobilewmdcBase.exe
O4 — HKLM..Run: [tsnpstd3] C:Windowstsnpstd3.exe
O4 — HKLM..Run: [snpstd3] C:Windowsvsnpstd3.exe
O4 — HKCU..Run: [Sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [utm5_wintray] C:Program FilesNetUPUTM5_wintrayutm5_wintray.exe
O4 — HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User ‘NETWORK SERVICE’)
O4 — Global Startup: hp psc 2000 Series.lnk = C:Program FilesHewlett-PackardDigital Imagingbinhpobnz08.exe
O4 — Global Startup: hpoddt01.exe.lnk = ?
O4 — Global Startup: VPN Client.lnk = ?
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Передать на удаленную закачку DM — C:Program FilesDownload Masterremdown.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O13 — Gopher Prefix:
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) — http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 — HKLMSystemCCSServicesTcpip..{68611C7A-D3D4-45AF-86AB-93723FF1BBF2}: NameServer = 89.222.165.2,89.222.167.2
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — AppInit_DLLs: c:progra~1agnitumoutpos~1wl_hook.dll
O23 — Service: Agnitum Client Security Service (acssrv) — Agnitum Ltd. — C:PROGRA~1AgnitumOUTPOS~1acs.exe
O23 — Service: Cisco Systems, Inc. VPN Service (CVPND) — Cisco Systems, Inc. — C:Program FilesCisco SystemsVPN Clientcvpnd.exe
O23 — Service: @dfsrres.dll,-101 (DFSR) — Корпорация Майкрософт — C:Windowssystem32DFSR.exe
O23 — Service: Служба Google Update (gupdate1ca1350ac3845c) (gupdate1ca1350ac3845c) — Google Inc. — C:Program FilesGoogleUpdateGoogleUpdate.exe
O23 — Service: NVIDIA Display Driver Service (nvsvc) — NVIDIA Corporation — C:Windowssystem32nvvsvc.exe
O23 — Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) — NVIDIA Corporation — C:Program FilesNVIDIA Corporation3D VisionnvSCPAPISvr.exe

—
End of file — 6371 bytes

======Scheduled tasks folder======

C:WindowstasksGoogleUpdateTaskMachineCore.job
C:WindowstasksGoogleUpdateTaskMachineUA.job
C:WindowstasksUser_Feed_Synchronization-{B1F49A5E-8084-4DE8-BDFE-BB499D4E1A86}.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll [2008-06-11 75128]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]
IE 4.x-6.x BHO for Download Master — C:PROGRA~1DOWNLO~1dmiehlp.dll [2009-04-16 158208]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — DM Bar — C:Program FilesDownload Masterdmbar.dll [2007-11-26 180224]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=C:Program FilesWindows DefenderMSASCui.exe [2008-01-21 1008184]
«RtHDVCpl»=C:Program FilesRealtekAudioHDARtHDVCpl.exe [2009-03-12 6965792]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-07-30 7975608]
«OutpostMonitor»=C:PROGRA~1AgnitumOUTPOS~1op_mon.exe [2008-07-15 1207128]
«OutpostFeedBack»=C:Program FilesAgnitumOutpost Security Suite Profeedback.exe [2008-07-15 435544]
«Adobe Reader Speed Launcher»=C:Program FilesAdobeReader 9.0ReaderReader_sl.exe [2008-06-12 34672]
«Windows Mobile-based device management»=C:WindowsWindowsMobilewmdcBase.exe [2007-05-31 648072]
«tsnpstd3″=C:Windowstsnpstd3.exe [2007-03-30 262144]
«snpstd3″=C:Windowsvsnpstd3.exe [2006-09-18 843776]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Sidebar»=C:Program FilesWindows Sidebarsidebar.exe [2009-04-11 1233920]
«Download Master»=C:Program FilesDownload Masterdmaster.exe [2009-08-05 3777536]
«utm5_wintray»=C:Program FilesNetUPUTM5_wintrayutm5_wintray.exe [2005-12-26 462848]

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
hp psc 2000 Series.lnk — C:Program FilesHewlett-PackardDigital Imagingbinhpobnz08.exe
hpoddt01.exe.lnk — C:Program FilesHewlett-PackardDigital Imagingbinhpotdd01.exe
VPN Client.lnk — C:WindowsInstaller{4C271126-C295-4828-A901-5910AE0C258B}Icon3E5562ED7.ico

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»c:progra~1agnitumoutpos~1wl_hook.dll»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfPf]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfRd]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfSvc]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfUsbccidDriver]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1
«EnableUIADesktopToggle»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«BindDirectlyToPropertySetStorage»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fcc5880c-9721-11de-bf4a-001d9272c9ad}]
shellAutoRuncommand — C:Windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665jwgkvsq.vmx,ahaezedrn

======File associations======

.js — edit — C:WindowsSystem32Notepad.exe %1
.js — open — C:WindowsSystem32WScript.exe «%1» %*

======List of files/folders created in the last 1 months======

2009-10-23 22:34:39 —-D—- C:Program Filestrend micro
2009-10-23 22:34:38 —-D—- C:rsit
2009-10-23 22:14:34 —-D—- C:UsersЕленаAppDataRoamingMalwarebytes
2009-10-23 22:14:28 —-D—- C:ProgramDataMalwarebytes
2009-10-23 22:14:23 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-10-15 21:31:56 —-A—- C:Windowssystem32msv1_0.dll
2009-10-15 21:31:50 —-A—- C:Windowssystem32ntoskrnl.exe
2009-10-15 21:31:50 —-A—- C:Windowssystem32ntkrnlpa.exe
2009-10-15 21:11:08 —-A—- C:Windowssystem32msasn1.dll
2009-10-15 21:06:17 —-A—- C:Windowssystem32WMSPDMOD.DLL
2009-10-06 21:54:50 —-A—- C:Windowssystem32wups2.dll
2009-10-06 21:54:50 —-A—- C:Windowssystem32wucltux.dll
2009-10-06 21:54:50 —-A—- C:Windowssystem32wuaueng.dll
2009-10-06 21:54:50 —-A—- C:Windowssystem32wuauclt.exe
2009-10-06 21:54:26 —-A—- C:Windowssystem32wups.dll
2009-10-06 21:54:26 —-A—- C:Windowssystem32wudriver.dll
2009-10-06 21:54:26 —-A—- C:Windowssystem32wuapi.dll
2009-10-06 21:54:16 —-A—- C:Windowssystem32wuwebv.dll
2009-10-06 21:54:16 —-A—- C:Windowssystem32wuapp.exe
2009-10-04 19:51:42 —-D—- C:Program FilesLongman
2009-10-02 22:07:47 —-N—- C:Windowssystem32MpSigStub.exe
2009-09-28 22:07:07 —-D—- C:Program FilesCPUID
2009-09-27 16:22:34 —-D—- C:Program FilesGridinSoft Trojan Killer
2009-09-27 15:46:27 —-D—- C:Program FilesTrojan Killer
2009-09-25 20:36:42 —-A—- C:Windowsntbtlog.txt

======List of files/folders modified in the last 1 months======

2009-10-23 22:34:58 —-D—- C:WindowsPrefetch
2009-10-23 22:34:50 —-D—- C:WindowsTemp
2009-10-23 22:34:39 —-RD—- C:Program Files
2009-10-23 22:28:42 —-D—- C:WindowsSystem32
2009-10-23 22:28:42 —-D—- C:Windowsinf
2009-10-23 22:28:42 —-A—- C:Windowssystem32PerfStringBackup.INI
2009-10-23 22:21:28 —-D—- C:ProgramDataNVIDIA
2009-10-23 22:14:30 —-D—- C:Windowssystem32drivers
2009-10-23 22:14:28 —-HD—- C:ProgramData
2009-10-23 21:03:04 —-SHD—- C:System Volume Information
2009-10-23 21:00:55 —-D—- C:Windowssystem32Filt
2009-10-21 19:50:34 —-D—- C:Windowstracing
2009-10-18 22:43:08 —-D—- C:UsersЕленаAppDataRoamingSkype
2009-10-18 21:18:37 —-D—- C:UsersЕленаAppDataRoamingskypePM
2009-10-17 13:15:41 —-D—- C:Windowswinsxs
2009-10-17 13:07:50 —-D—- C:WindowsMicrosoft.NET
2009-10-17 13:07:49 —-RSD—- C:Windowsassembly
2009-10-17 13:05:35 —-D—- C:Windowssystem32catroot
2009-10-16 22:23:27 —-D—- C:Windowsehome
2009-10-16 22:23:27 —-D—- C:Program FilesWindows Mail
2009-10-16 22:11:26 —-SHD—- C:WindowsInstaller
2009-10-16 22:11:23 —-D—- C:ProgramDataMicrosoft Help
2009-10-16 22:07:37 —-D—- C:Windowssystem32catroot2
2009-10-10 00:06:37 —-D—- C:Downloads
2009-10-09 22:12:04 —-D—- C:UsersЕленаAppDataRoamingdvdcss
2009-10-07 21:18:34 —-D—- C:Windowsrescache
2009-10-07 21:00:38 —-D—- C:Windowssystem32ru-RU
2009-10-04 19:53:37 —-D—- C:Windowssystem32Tasks
2009-10-02 22:01:57 —-A—- C:Windowssystem32mrt.exe
2009-09-27 17:30:00 —-D—- C:Program FilesGoogle
2009-09-27 16:18:59 —-D—- C:WindowsTasks
2009-09-27 16:18:43 —-D—- C:Windows
2009-09-27 15:54:19 —-D—- C:Program FilesMozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 afw;Agnitum Firewall Driver; C:Windowssystem32DRIVERSafw.sys [2008-06-30 28688]
R1 SandBox;SandBox; C:Windowssystem32DRIVERSSandBox.sys [2008-07-11 673920]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; ??C:Windowssystem32DriversCVPNDRVA.sys [2008-04-17 306299]
R3 afwcore;afwcore; C:Windowssystem32driversafwcore.sys [2008-06-30 242704]
R3 ASWFilt;ASWFilt; C:Windowssystem32FiltASWFilt.dll [2008-07-11 33408]
R3 DNE;Deterministic Network Enhancer Miniport; C:Windowssystem32DRIVERSdne2000.sys [2008-03-29 125328]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:Windowssystem32driversRTKVHDA.sys [2009-03-12 2342688]
R3 nvlddmkm;nvlddmkm; C:Windowssystem32DRIVERSnvlddmkm.sys [2009-07-14 9557216]
R3 RTL8169;Realtek 8169 NT Driver; C:Windowssystem32DRIVERSRtlh86.sys [2009-03-17 140288]
R3 SNPSTD3;PLEOMAX PWC-4200; C:Windowssystem32DRIVERSsnpstd3.sys [2007-05-17 10246400]
R3 usbaudio;Аудио драйвер USB (WDM); C:Windowssystem32driversusbaudio.sys [2009-04-11 73216]
R3 VBEngNT;VBEngNT; C:Windowssystem32DRIVERSVBEngNT.sys [2008-06-04 1072722]
R3 VBFilt;VBFilt; C:Windowssystem32FiltVBFilt.dll [2008-07-11 158816]
R3 WUDFRd;WUDFRd; C:Windowssystem32DRIVERSWUDFRd.sys [2008-01-21 83328]
S3 cpuz132;cpuz132; ??C:Windowssystem32driverscpuz132_x32.sys [2009-03-27 12672]
S3 CVirtA;Cisco Systems VPN Adapter; C:Windowssystem32DRIVERSCVirtA.sys [2007-01-18 5275]
S3 drmkaud;Звуковой дешифратор DRM ядра системы; C:Windowssystem32driversdrmkaud.sys [2008-01-21 5632]
S3 HdAudAddService;Драйвер функции UAA для службы High Definition Audio (Microsoft), версия 1.1; C:Windowssystem32driversHdAudio.sys [2009-04-11 236544]
S3 MSKSSRV;Представитель служб потоков Microsoft; C:Windowssystem32driversMSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Посредник синхронизации потоков Microsoft; C:Windowssystem32driversMSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Представитель диспетчера качества потоков Microsoft; C:Windowssystem32driversMSPQM.sys [2008-01-21 5504]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:Windowssystem32driversMSTEE.sys [2008-01-21 6016]
S3 usb_rndisx;Адаптер USB RNDIS; C:Windowssystem32DRIVERSusb8023x.sys [2009-04-11 15872]
S3 usbscan;Драйвер USB-сканера; C:Windowssystem32DRIVERSusbscan.sys [2008-01-21 35328]
S3 winusb;WinUSB Service; C:Windowssystem32DRIVERSwinusb.sys [2009-04-11 31616]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:Windowssystem32driverserrdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:Windowssystem32driversmegasr.sys [2008-01-21 386616]
S4 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:Windowssystem32driverswmiacpi.sys [2008-01-21 11264]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 acssrv;Agnitum Client Security Service; C:PROGRA~1AgnitumOUTPOS~1acs.exe [2008-07-15 1570136]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:Program FilesCisco SystemsVPN Clientcvpnd.exe [2008-04-17 1528608]
R2 nvsvc;NVIDIA Display Driver Service; C:Windowssystem32nvvsvc.exe [2009-07-14 215584]
R2 RapiMgr;@%windir%WindowsMobilerapimgr.dll,-104; C:Windowssystem32svchost.exe [2008-01-21 21504]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service; C:Program FilesNVIDIA Corporation3D VisionnvSCPAPISvr.exe [2009-07-14 239648]
R2 WcesComm;@%windir%WindowsMobilewcescomm.dll,-40079; C:Windowssystem32svchost.exe [2008-01-21 21504]
S2 gupdate1ca1350ac3845c;Служба Google Update (gupdate1ca1350ac3845c); C:Program FilesGoogleUpdateGoogleUpdate.exe [2009-08-02 133104]
S3 odserv;Microsoft Office Diagnostics Service; C:Program FilesCommon FilesMicrosoft SharedOFFICE12ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]

---

EOF

---

[Nana]

info.txt
info.txt logfile of random’s system information tool 1.06 2009-10-23 22:35:06

======Uninstall list======

—>MsiExec /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
Adobe Flash Player 10 ActiveX—>C:Windowssystem32MacromedFlashuninstall_activeX.exe
Adobe Flash Player 10 Plugin—>C:Windowssystem32MacromedFlashuninstall_plugin.exe
Adobe Reader 9 — Russian—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A90000000001}
Agnitum Outpost Security Suite Pro—>»C:Program FilesAgnitumOutpost Security Suite Prounins000.exe»
ATI AVIVO Codecs—>MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
Cisco Systems VPN Client 5.0.03.0530—>MsiExec.exe /X{4C271126-C295-4828-A901-5910AE0C258B}
CPUID HWMonitor 1.14—>»C:Program FilesCPUIDHWMonitorunins000.exe»
Download Master version 5.5.13.1173—>»C:Program FilesDownload Masterunins000.exe»
Google Update Helper—>MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Планета Земля—>MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=»»
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=»»
hp psc 2100 series—>MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2}
Mail.Ru Агент 5.5 (сборка 2842, для всех пользователей)—>C:Program FilesMail.RuAgentmagentsetup.exe -uninstalllm
Malwarebytes’ Anti-Malware—>»C:Program FilesMalwarebytes’ Anti-Malwareunins000.exe»
Microsoft .NET Framework 3.5 Language Pack SP1 — rus—>MsiExec.exe /I{2744791F-4E7C-32F5-AB40-AEC6A6C86DBF}
Microsoft .NET Framework 3.5 SP1—>C:WindowsMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 SP1setup.exe
Microsoft .NET Framework 3.5 SP1—>MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Excel 2007 Help Обновление (KB963678)—>msiexec /package {90120000-0016-0419-0000-0000000FF1CE} /uninstall {420938DB-BF97-4664-BE29-0C68B4802C00}
Microsoft Office Excel MUI (Russian) 2007—>MsiExec.exe /X{90120000-0016-0419-0000-0000000FF1CE}
Microsoft Office Outlook 2007 Help Обновление (KB963677)—>msiexec /package {90120000-001A-0419-0000-0000000FF1CE} /uninstall {E9D6C0F9-9879-4FC4-8E13-BF0D3953E0E6}
Microsoft Office Outlook MUI (Russian) 2007—>MsiExec.exe /X{90120000-001A-0419-0000-0000000FF1CE}
Microsoft Office Powerpoint 2007 Help Обновление (KB963669)—>msiexec /package {90120000-0018-0419-0000-0000000FF1CE} /uninstall {BD1C2AC7-63F3-4C75-8B44-DE3D700B3BC8}
Microsoft Office PowerPoint MUI (Russian) 2007—>MsiExec.exe /X{90120000-0018-0419-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007—>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007—>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Russian) 2007—>MsiExec.exe /X{90120000-001F-0419-0000-0000000FF1CE}
Microsoft Office Proof (Ukrainian) 2007—>MsiExec.exe /X{90120000-001F-0422-0000-0000000FF1CE}
Microsoft Office Proofing (Russian) 2007—>MsiExec.exe /X{90120000-002C-0419-0000-0000000FF1CE}
Microsoft Office Shared MUI (Russian) 2007—>MsiExec.exe /X{90120000-006E-0419-0000-0000000FF1CE}
Microsoft Office Standard 2007—>MsiExec.exe /X{90120000-0012-0000-0000-0000000FF1CE}
Microsoft Office Word 2007 Help Обновление (KB963665)—>msiexec /package {90120000-001B-0419-0000-0000000FF1CE} /uninstall {D3A002FB-0F62-4840-80AD-2D2C63F83449}
Microsoft Office Word MUI (Russian) 2007—>MsiExec.exe /X{90120000-001B-0419-0000-0000000FF1CE}
Microsoft Office Стандартный 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall STANDARD /dll OSETUP.DLL
Microsoft Visual C++ 2005 ATL Update kb973923 — x86 8.0.50727.4053—>MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.14)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
NetUP UserTrafManager5—>C:Program FilesNetUPUTM5_wintrayuninstall.exe
NVIDIA Drivers—>C:Windowssystem32nvuninst.exe UninstallGUI
NVIDIA PhysX—>MsiExec.exe /X{B83FC356-B7C0-441F-8A4D-D71E088E7974}
NVIDIA Stereoscopic 3D Driver—>»C:Program FilesNVIDIA Corporation3D VisionnvStInst.exe» /uninstall /ask
PLEOMAX PWC-4200—>C:Program FilesInstallShield Installation Information{7054F720-86C4-45A0-BE53-97F5248C4FB0}setup.exe -runfromtemp -l0x0009 -removeonly
Realtek 8136 8168 8169 Ethernet Driver—>C:Program FilesInstallShield Installation Information{8833FFB6-5B0C-4764-81AA-06DFEED9A476}setup.exe -runfromtemp -removeonly
Realtek High Definition Audio Driver—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime1150Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}Setup.exe» -removeonly
Security Update for 2007 Microsoft Office System (KB951550)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB960003)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF}
Security Update for Microsoft Office Excel 2007 (KB959997)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office system 2007 (KB954326)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Security Update for Outlook 2007 (KB946983)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Skype web features—>MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1—>MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Trojan Killer 2.0—>»C:Program FilesGridinSoft Trojan Killerunins000.exe»
Update for 2007 Microsoft Office System (KB967642)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=»»
Update for Office 2007 (KB934391)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5}
Update for Outlook 2007 Junk Email Filter (KB974810)—>msiexec /package {90120000-0012-0000-0000-0000000FF1CE} /uninstall {C05FBAD5-A211-4E86-BB51-7E07B80C9233}
Vista Codec Package—>MsiExec.exe /I{F9FD80CE-0448-4D4F-8BCD-77FC514C3F99}
VLC media player 0.9.9—>C:Program FilesVideoLANVLCuninstall.exe
Драйверы для Программа обработки фотографий и изображений HP 2.0 — All-in-One—>MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
Программа обработки фотографий и изображений HP 2.0 — All-in-One—>MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
рограмма обработки фотографий и изображений HP 2.0 — psc 2100—>C:Program FilesHewlett-PackardDigital Imaging{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}Setuphpzscr01.exe -datfile hposcr02.dat -forcereboot
Языковой пакет Microsoft .NET Framework 3.5 SP1 — RUS—>C:WindowsMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 Language Pack SP1 — russetup.exe

Hosts File Missing
======Security center information======

AV: Outpost Security Suite Pro
FW: Outpost Security Suite Pro
AS: Windows Defender
AS: Outpost Security Suite Pro

======System event log======

Computer Name: 26L2233B1-13
Event Code: 4
Message: Процессор 1 показывает следующие данные:

1 состояния ожидания,
6 состояния производительности,
0 состояния снижения мощности
Record Number: 5
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20090729184846.554096-000
Event Type: Сведения
User: NT AUTHORITYSYSTEM

Computer Name: 26L2233B1-13
Event Code: 4
Message: Процессор 0 показывает следующие данные:

1 состояния ожидания,
6 состояния производительности,
0 состояния снижения мощности
Record Number: 4
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20090729184846.554096-000
Event Type: Сведения
User: NT AUTHORITYSYSTEM

Computer Name: 26L2233B1-13
Event Code: 4201
Message: Система обнаружила, что сетевой адаптер Loopback Pseudo-Interface 1 был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.
Record Number: 3
Source Name: Tcpip
Time Written: 20090729184844.822485-000
Event Type: Сведения
User:

Computer Name: 26L2233B1-13
Event Code: 4201
Message: Система обнаружила, что сетевой адаптер Loopback Pseudo-Interface 1 был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.
Record Number: 2
Source Name: Tcpip
Time Written: 20090729184844.822485-000
Event Type: Сведения
User:

Computer Name: 26L2233B1-13
Event Code: 6
Message: Фильтр файловой системы «FileInfo» (версия 6.0, 2008-01-19T09:34:27.000Z) успешно загружен и зарегистрирован у диспетчера фильтров.
Record Number: 1
Source Name: Microsoft-Windows-FilterManager
Time Written: 20090729184844.775685-000
Event Type: Сведения
User: NT AUTHORITYSYSTEM

=====Application event log=====

Computer Name: 26L2233B1-13
Event Code: 5615
Message: Windows Management Instrumentation Service started sucessfully
Record Number: 5
Source Name: Microsoft-Windows-WMI
Time Written: 20090729185317.000000-000
Event Type: Сведения
User:

Computer Name: WIN-97COLY6SDN5
Event Code: 4625
Message: Подсистема EventSystem подавляет повторяющиеся элементы журнала событий в течение 86400 сек. Таймаут подавления управляется значением REG_DWORD с именем SuppressDuplicateDuration в следующем разделе реестра: HKLMSoftwareMicrosoftEventSystemEventLog.
Record Number: 4
Source Name: Microsoft-Windows-EventSystem
Time Written: 20090729185313.000000-000
Event Type: Сведения
User:

Computer Name: WIN-97COLY6SDN5
Event Code: 900
Message: Выполняется запуск службы лицензирования программного обеспечения.

Record Number: 3
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20090729185313.000000-000
Event Type: Сведения
User:

Computer Name: WIN-97COLY6SDN5
Event Code: 1531
Message: Служба профилей пользователей успешно запущена.

Record Number: 2
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20090729185312.000000-000
Event Type: Сведения
User: NT AUTHORITYSYSTEM

Computer Name: 26L2233B1-13
Event Code: 2
Message: Клиент служб сертификации остановлен.
Record Number: 1
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20080121025830.046400-000
Event Type: Сведения
User: NT AUTHORITYSYSTEM

=====Security event log=====

Computer Name: 26L2233B1-13
Event Code: 4648
Message: Выполнена попытка входа в систему с явным указанием учетных данных.

Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: 26L2233B1-13$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost

Сведения о процессе:
Идентификатор процесса: 0x21c
Имя процесса: C:WindowsSystem32services.exe

Сведения о сети:
Сетевой адрес: —
Порт: —

Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например назначенных задач, или выполнении команды RUNAS.
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090729185247.216839-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 26L2233B1-13
Event Code: 4902
Message: Создана таблица политики аудита по пользователям.

Число элементов: 0
Идентификатор политики: 0xb36ec
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090729185234.643158-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 26L2233B1-13
Event Code: 4624
Message: Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0

Тип входа: 0

Новый вход:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:

Сведения о сети:
Имя рабочей станции: —
Сетевой адрес источника: —
Порт источника: —

Сведения о проверке подлинности:
Процесс входа: —
Пакет проверки подлинности: —
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090729185231.320337-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 26L2233B1-13
Event Code: 4608
Message: Выполняется запуск Windows.

Это событие записывается в журнал при запуске LSASS.EXE и инициализации подсистемы аудита.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090729185231.304737-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 26L2233B1-13
Event Code: 4634
Message: Выполнен выход учетной записи из системы.

Субъект:
ИД безопасности: S-1-5-7
Имя учетной записи: ANONYMOUS LOGON
Домен учетной записи: NT AUTHORITY
Код входа: 0x1f2f0

Тип входа: 3

Данное событие возникает при уничтожении сеанса входа. Его можно однозначно связать с событием входа с помощью значения «Код входа». Коды входа остаются уникальными после перезагрузки, но они уникальны только на одном компьютере.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20080121025830.171200-000
Event Type: Аудит выполнен успешно
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
«PROCESSOR_ARCHITECTURE»=x86
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
«USERNAME»=SYSTEM
«windir»=%SystemRoot%
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 107 Stepping 2, AuthenticAMD
«PROCESSOR_REVISION»=6b02
«NUMBER_OF_PROCESSORS»=2
«TRACE_FORMAT_SEARCH_PATH»=\NTREL202.ntdev.corp.microsoft.com4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0TraceFormat
«DFSTRACINGON»=FALSE

---

EOF

---

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Nana]

ComboFix 09-10-23.01 — Елена 27.10.2009 22:07.1.2 — NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1251.7.1049.18.2047.1256 [GMT 3:00]
Running from: c:usersЕленаDesktopComboFix.exe
AV: Outpost Security Suite Pro *On-access scanning disabled* (Updated) {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
FW: Outpost Security Suite Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
SP: Outpost Security Suite Pro *disabled* (Updated) {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:program filesMail.RuAgentMradllnewmrasearch.dll

.
((((((((((((((((((((((((( Files Created from 2009-09-27 to 2009-10-27 )))))))))))))))))))))))))))))))
.

2009-10-27 19:16 . 2009-10-27 19:17

---

d

---

w- c:usersЕленаAppDataLocaltemp
2009-10-27 19:16 . 2009-10-27 19:16

---

d

---

w- c:usersDefaultAppDataLocaltemp
2009-10-23 18:50 . 2009-10-23 18:50

---

d

---

w- c:usersЕленаAppDataRoamingWinPatrol
2009-10-23 18:50 . 2006-09-18 21:43 10 —-a-w- c:usersЕленаAppDataRoamingWinPatrolConfig.sys
2009-10-23 18:50 . 2006-09-18 21:43 24 —-a-w- c:usersЕленаAppDataRoamingWinPatrolAutoexec.bat
2009-10-23 18:50 . 2009-10-23 18:50

---

d

---

w- c:program filesBillP Studios
2009-10-23 18:34 . 2009-10-24 18:25

---

d

---

w- c:program filestrend micro
2009-10-23 18:34 . 2009-10-23 18:35

---

d

---

w- C:rsit
2009-10-23 18:14 . 2009-10-23 18:14

---

d

---

w- c:usersЕленаAppDataRoamingMalwarebytes
2009-10-23 18:14 . 2009-09-10 10:54 38224 —-a-w- c:windowssystem32driversmbamswissarmy.sys
2009-10-23 18:14 . 2009-10-23 18:14

---

d

---

w- c:programdataMalwarebytes
2009-10-23 18:14 . 2009-09-10 10:53 19160 —-a-w- c:windowssystem32driversmbam.sys
2009-10-23 18:14 . 2009-10-23 18:14

---

d

---

w- c:program filesMalwarebytes’ Anti-Malware
2009-10-15 17:31 . 2009-09-10 16:48 218624 —-a-w- c:windowssystem32msv1_0.dll
2009-10-15 17:31 . 2009-08-04 12:34 3600456 —-a-w- c:windowssystem32ntkrnlpa.exe
2009-10-15 17:31 . 2009-08-04 12:34 3548216 —-a-w- c:windowssystem32ntoskrnl.exe
2009-10-15 17:11 . 2009-09-04 11:41 60928 —-a-w- c:windowssystem32msasn1.dll
2009-10-15 17:11 . 2009-09-14 09:29 144896 —-a-w- c:windowssystem32driverssrv2.sys
2009-10-15 17:06 . 2009-05-08 12:53 604672 —-a-w- c:windowssystem32WMSPDMOD.DLL
2009-10-06 17:54 . 2009-08-07 02:24 44768 —-a-w- c:windowssystem32wups2.dll
2009-10-06 17:54 . 2009-08-07 02:24 53472 —-a-w- c:windowssystem32wuauclt.exe
2009-10-06 17:54 . 2009-08-07 02:23 1929952 —-a-w- c:windowssystem32wuaueng.dll
2009-10-06 17:54 . 2009-08-07 01:45 2421760 —-a-w- c:windowssystem32wucltux.dll
2009-10-06 17:54 . 2009-08-07 02:24 35552 —-a-w- c:windowssystem32wups.dll
2009-10-06 17:54 . 2009-08-07 02:23 575704 —-a-w- c:windowssystem32wuapi.dll
2009-10-06 17:54 . 2009-08-07 01:44 87552 —-a-w- c:windowssystem32wudriver.dll
2009-10-06 17:54 . 2009-08-06 15:23 171608 —-a-w- c:windowssystem32wuwebv.dll
2009-10-06 17:54 . 2009-08-06 14:44 33792 —-a-w- c:windowssystem32wuapp.exe
2009-10-04 15:51 . 2009-10-04 15:51

---

d

---

w- c:program filesLongman
2009-10-02 18:07 . 2009-10-01 06:29 195440

---

w- c:windowssystem32MpSigStub.exe
2009-09-28 18:07 . 2009-09-28 18:07

---

d

---

w- c:program filesCPUID
2009-09-28 18:07 . 2009-03-26 21:16 12672 —-a-w- c:windowssystem32driverscpuz132_x32.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-27 19:15 . 2009-07-29 19:03 1310720 —sha-w- c:usersЕленаNTUSER.DAT
2009-10-27 19:03 . 2008-01-21 05:44 653074 —-a-w- c:windowssystem32perfh019.dat
2009-10-27 19:03 . 2008-01-21 05:44 125594 —-a-w- c:windowssystem32perfc019.dat
2009-10-27 18:59 . 2009-07-29 20:03

---

d

---

w- c:programdataNVIDIA
2009-10-27 18:58 . 2009-07-29 19:03 55376 —-a-w- c:usersЕленаAppDataLocalGDIPFONTCACHEV1.DAT
2009-10-27 18:58 . 2009-07-29 21:03 78995 —-a-w- c:programdatanvModes.dat
2009-10-25 19:16 . 2009-07-30 18:22

---

d

---

w- c:programdataMicrosoft Help
2009-10-25 19:13 . 2009-07-30 18:25

---

d

---

w- c:program filesMicrosoft Works
2009-10-25 13:36 . 2009-08-02 14:39

---

d

---

w- c:usersЕленаAppDataRoamingSkype
2009-10-25 13:03 . 2009-08-02 14:48

---

d

---

w- c:usersЕленаAppDataRoamingskypePM
2009-10-24 10:15 . 2009-07-30 17:59

---

d

---

w- c:usersЕленаAppDataRoamingMra
2009-10-23 18:50 . 2009-10-23 18:50

---

d

---

w- c:usersЕленаAppDataRoamingWinPatrol
2009-10-23 18:14 . 2009-10-23 18:14

---

d

---

w- c:usersЕленаAppDataRoamingMalwarebytes
2009-10-16 18:23 . 2006-11-02 11:18

---

d

---

w- c:program filesWindows Mail
2009-10-09 18:12 . 2009-07-30 19:01

---

d

---

w- c:usersЕленаAppDataRoamingdvdcss
2009-10-03 13:17 . 2009-09-27 12:22

---

d

---

w- c:program filesGridinSoft Trojan Killer
2009-09-27 13:30 . 2009-08-02 09:02

---

d

---

w- c:program filesGoogle
2009-09-27 11:54 . 2009-09-27 11:46

---

d

---

w- c:program filesTrojan Killer
2009-09-25 17:29 . 2009-07-29 19:03 1356 —-a-w- c:usersЕленаAppDataLocald3d9caps.dat
2009-09-06 14:16 . 2009-07-30 18:48

---

d

---

w- c:program filesDownload Master
2009-09-03 18:32 . 2009-09-03 18:32 48 —ha-w- c:windowssystem32ezsidmv.dat
2009-09-02 17:51 . 2009-09-02 17:51

---

d

---

w- c:program filesCommon FilesDeterministic Networks
2009-09-02 17:51 . 2009-09-02 17:51

---

d

---

w- c:program filesCisco Systems
2009-09-01 17:53 . 2009-09-01 17:46 19558 —-a-w- c:windowshpoins01.dat
2009-09-01 17:48 . 2009-09-01 17:48

---

d

---

w- c:program filesCommon FilesHewlett-Packard
2009-09-01 17:47 . 2009-09-01 17:47

---

d

---

w- c:program filesHewlett-Packard
2009-08-29 00:27 . 2009-09-03 17:07 4240384 —-a-w- c:windowssystem32GameUXLegacyGDFs.dll
2009-08-29 00:14 . 2009-09-03 17:07 28672 —-a-w- c:windowssystem32Apphlpdm.dll
2009-08-27 05:22 . 2009-10-24 09:20 916480 —-a-w- c:windowssystem32wininet.dll
2009-08-27 05:17 . 2009-10-24 09:20 71680 —-a-w- c:windowssystem32iesetup.dll
2009-08-27 05:17 . 2009-10-24 09:20 109056 —-a-w- c:windowssystem32iesysprep.dll
2009-08-27 03:42 . 2009-10-24 09:20 133632 —-a-w- c:windowssystem32ieUnatt.exe
2009-08-17 20:33 . 2009-08-17 20:33 1193832 —-a-w- c:windowssystem32FM20.DLL
2009-08-14 16:27 . 2009-09-09 17:05 904776 —-a-w- c:windowssystem32driverstcpip.sys
2009-08-14 15:53 . 2009-09-09 17:05 17920 —-a-w- c:windowssystem32netevent.dll
2009-08-14 13:49 . 2009-09-09 17:05 9728 —-a-w- c:windowssystem32TCPSVCS.EXE
2009-08-14 13:49 . 2009-09-09 17:05 17920 —-a-w- c:windowssystem32ROUTE.EXE
2009-08-14 13:49 . 2009-09-09 17:05 11264 —-a-w- c:windowssystem32MRINFO.EXE
2009-08-14 13:49 . 2009-09-09 17:05 27136 —-a-w- c:windowssystem32NETSTAT.EXE
2009-08-14 13:49 . 2009-09-09 17:05 19968 —-a-w- c:windowssystem32ARP.EXE
2009-08-14 13:49 . 2009-09-09 17:05 8704 —-a-w- c:windowssystem32HOSTNAME.EXE
2009-08-14 13:49 . 2009-09-09 17:05 10240 —-a-w- c:windowssystem32finger.exe
2009-08-14 13:48 . 2009-09-09 17:05 30720 —-a-w- c:windowssystem32driverstcpipreg.sys
2009-08-14 13:48 . 2009-09-09 17:05 105984 —-a-w- c:windowssystem32netiohlp.dll
2009-07-30 18:38 . 2009-07-30 18:38 0 —-a-w- c:windowsnsreg.dat
2009-07-30 09:46 . 2009-07-30 09:46 319456 —-a-w- c:windowsDIFxAPI.dll
2009-07-30 09:41 . 2009-07-30 09:41 9158 —-a-r- c:usersЕленаAppDataRoamingMicrosoftInstaller{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}ARPPRODUCTICON.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Sidebar»=»c:program filesWindows Sidebarsidebar.exe» [2009-04-11 1233920]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2009-08-05 3777536]
«utm5_wintray»=»c:program filesNetUPUTM5_wintrayutm5_wintray.exe» [2005-12-25 462848]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=»c:program filesWindows DefenderMSASCui.exe» [2008-01-21 1008184]
«RtHDVCpl»=»c:program filesRealtekAudioHDARtHDVCpl.exe» [2009-03-12 6965792]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-07-30 7975608]
«OutpostMonitor»=»c:progra~1AgnitumOUTPOS~1op_mon.exe» [2008-07-15 1207128]
«OutpostFeedBack»=»c:program filesAgnitumOutpost Security Suite Profeedback.exe» [2008-07-15 435544]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2008-06-11 34672]
«Windows Mobile-based device management»=»c:windowsWindowsMobilewmdcBase.exe» [2007-05-31 648072]
«tsnpstd3″=»c:windowstsnpstd3.exe» [2007-03-30 262144]
«snpstd3″=»c:windowsvsnpstd3.exe» [2006-09-18 843776]
«WinPatrol»=»c:program filesBillP StudiosWinPatrolWinPatrol.exe» [2007-08-06 292152]
«WinPatrol Russian v.2″=»c:program filesBillP StudiosWinPatrolwinpatrol.exe» [2007-08-06 292152]

c:programdataMicrosoftWindowsStart MenuProgramsStartup
hp psc 2000 Series.lnk — c:program filesHewlett-PackardDigital Imagingbinhpobnz08.exe [2003-4-9 323646]
hpoddt01.exe.lnk — c:program filesHewlett-PackardDigital Imagingbinhpotdd01.exe [2003-4-9 28672]
VPN Client.lnk — c:windowsInstaller{4C271126-C295-4828-A901-5910AE0C258B}Icon3E5562ED7.ico [2009-9-2 6144]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1AgnitumOUTPOS~1wl_hook.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«aux2″=wdmaud.drv

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«VistaSp2″=hex(b):40,7f,e1,49,93,10,ca,01

R1 afw;Agnitum Firewall Driver;c:windowsSystem32driversafw.sys [30.07.2009 21:04 28688]
R1 SandBox;SandBox;c:windowsSystem32driversSandBox.sys [30.07.2009 21:04 673920]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:program filesNVIDIA Corporation3D VisionnvSCPAPISvr.exe [14.07.2009 11:28 239648]
R3 afwcore;afwcore;c:windowsSystem32driversafwcore.sys [30.07.2009 21:05 242704]
R3 ASWFilt;ASWFilt;c:windowsSystem32FiltASWFilt.dll [30.07.2009 21:04 33408]
R3 VBEngNT;VBEngNT;c:windowsSystem32driversVBEngNT.sys [30.07.2009 21:04 1072722]
R3 VBFilt;VBFilt;c:windowsSystem32FiltVBFilt.dll [30.07.2009 21:04 158816]
S2 acssrv;Agnitum Client Security Service;c:progra~1AgnitumOUTPOS~1acs.exe [30.07.2009 21:04 1570136]
S2 gupdate1ca1350ac3845c;Служба Google Update (gupdate1ca1350ac3845c);c:program filesGoogleUpdateGoogleUpdate.exe [02.08.2009 12:03 133104]
S3 cpuz132;cpuz132;c:windowsSystem32driverscpuz132_x32.sys [28.09.2009 21:07 12672]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contents of the ‘Scheduled Tasks’ folder

2009-10-27 c:windowsTasksGoogleUpdateTaskMachineCore.job
— c:program filesGoogleUpdateGoogleUpdate.exe [2009-08-02 09:02]

2009-10-27 c:windowsTasksGoogleUpdateTaskMachineUA.job
— c:program filesGoogleUpdateGoogleUpdate.exe [2009-08-02 09:02]

2009-10-27 c:windowsTasksUser_Feed_Synchronization-{B1F49A5E-8084-4DE8-BDFE-BB499D4E1A86}.job
— c:windowssystem32msfeedssync.exe [2009-10-24 03:41]
.
.

---

Supplementary Scan

---

.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Передать на удаленную закачку DM — c:program filesDownload Masterremdown.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
TCP: {68611C7A-D3D4-45AF-86AB-93723FF1BBF2} = 89.222.165.2,89.222.167.2
FF — ProfilePath — c:usersЕленаAppDataRoamingMozillaFirefoxProfilesmfh2tim6.default
FF — component: c:program filesMozilla Firefoxextensions{B13721C7-F507-4982-B2E5-502A71474FED}componentsNPComponent.dll
FF — plugin: c:program filesGoogleUpdate1.2.183.7npGoogleOneClick8.dll
FF — plugin: c:program filesMozilla Firefoxpluginsnpdm.dll
FF — plugin: c:program filesVistaCodecPackrmbrowserpluginsnppl3260.dll
FF — plugin: c:program filesVistaCodecPackrmbrowserpluginsnprpjplug.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-27 22:16
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-10-27 22:19
ComboFix-quarantined-files.txt 2009-10-27 19:19

Pre-Run: 22 917 201 920 байт свободно
Post-Run: 22 941 278 208 байт свободно

Current=1 Default=1 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8,15
— — End Of File — — 3D2B2F2E3F2AF0E3D133DCEB0337C317

[Nana]

Здравствуйте, Valeri! Combofix поместил 3 файла в карантин, но проблема не решилась.. 🙁 .

[Автор]

Сообщения