Снова лента с ВОДОНАЕВОЙ

This topic has 17 ответов, 2 участника, and was last updated 15 years, 5 months назад by niger.

Просмотр 15 сообщений - с 1 по 15 (из 18 всего)

1 2 →

Автор

Сообщения
28 октября, 2009 в 3:50 пп #17332
niger
Participant
- Темы:6
- Сообщений:33
Здравствуйте! Недели три назад вы мне помогли излечиться от него! Но мой родственник снова его где то цепанул))) Помогите пжлста!
Logfile of random’s system information tool 1.06 (written by random/random)
Run by user at 2009-10-28 20:43:54
Microsoft Windows XP Professional Service Pack 2
System drive C: has 305 MB (1%) free of 29 GB
Total RAM: 255 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:56, on 28.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesMediaLinguaMultiLex 3.5HKML_SRV.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
C:Program Files2gisUpdateClientWin32UpdateClientService.exe
C:Program FilesOperaopera.exe
C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столRSIT.exe
C:Program Filestrend microuser.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://ya.ru/?clid=41124
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: QIPBHO Class — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and Settingsuser.1-F23B81FC8DDD4Application DataMicrosoftInternet Explorerqipsearchbar.dll
R3 — URLSearchHook: (no name) — — (no file)
R3 — URLSearchHook: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP0.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 — BHO: MS Media Module — {26F4606E-8855-789A-50E6-16188A2DFEDC} — %APPDATA%msmedia.dll (file missing)
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O2 — BHO: (no name) — {88888888-8888-8888-8888-888888888888} — (no file)
O2 — BHO: QIPBHO — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and Settingsuser.1-F23B81FC8DDD4Application DataMicrosoftInternet Explorerqipsearchbar.dll
O2 — BHO: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP0.dll
O3 — Toolbar: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP0.dll
O3 — Toolbar: Яндекс.Бар — {91397D20-1446-11D4-8AF4-0040CA1127B6} — C:Program FilesYandexYandexBarIEyndbar.dll
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [RemoteControl] «C:Program FilesCyberLinkPowerDVDPDVDServ.exe»
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [Kerish-Antivirus] C:Program FilesKerishAV2005Antivirus.exe startcheck
O4 — HKLM..Run: [SpIDerAgent] «C:Program FilesDrWebSpIDerAgent.exe»
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [SpIDerGate] «C:Program FilesDrWebspidergate.exe» -autorun
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKLM..Run: [QuickTime Task] «C:Program FilesQuickTimeqttask.exe» -atboottime
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [KabAuth] C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..RunOnce: [Sputnik@Mail.Ru] C:DOCUME~1USER~1.1-FLOCALS~1TempSputnikInstaller.exe /s:C:Program FilesMail.RuSputnik
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: MultiLex Universal Hotkeys.lnk = C:Program FilesMediaLinguaMultiLex 3.5HKML_SRV.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Перевод — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — (no file)
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search && Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: Перевод — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — C:Program FilesX-Translator DIAMONDPROMTIE4promtie5.htm (HKCU)
O9 — Extra ‘Tools’ menuitem: Перевести — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — C:Program FilesX-Translator DIAMONDPROMTIE4promtie5.htm (HKCU)
O9 — Extra button: (no name) — {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — C:Program FilesX-Translator DIAMONDPROMTIE4options.htm (HKCU)
O9 — Extra ‘Tools’ menuitem: Настройка перевода — {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — C:Program FilesX-Translator DIAMONDPROMTIE4options.htm (HKCU)
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O17 — HKLMSystemCCSServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O17 — HKLMSystemCS1ServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O17 — HKLMSystemCS2ServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O23 — Service: 2GIS UpdateClientService — ДубльГИС — C:Program Files2gisUpdateClientWin32UpdateClientService.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) — CACE Technologies — C:Program FilesWinPcaprpcapd.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 8792 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx [2001-03-02 37808]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{26F4606E-8855-789A-50E6-16188A2DFEDC}]
MS Media Module — C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datamsmedia.dll [2009-10-27 13824]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection — C:Program FilesSpybot — Search & DestroySDHelper.dll [2008-07-07 1562448]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{95289393-33EA-4F8D-B952-483415B9C955}]
QIPBHO Class — C:Documents and Settingsuser.1-F23B81FC8DDD4Application DataMicrosoftInternet Explorerqipsearchbar.dll [2008-12-30 131072]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]
MyPlayCityRU Toolbar — C:Program FilesMyPlayCityRUtbMyP0.dll [2009-08-13 2215960]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — MyPlayCityRU Toolbar — C:Program FilesMyPlayCityRUtbMyP0.dll [2009-08-13 2215960]
{91397D20-1446-11D4-8AF4-0040CA1127B6} — Яндекс.Бар — C:Program FilesYandexYandexBarIEyndbar.dll [2009-07-24 5586208]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2001-07-09 155648]
«RemoteControl»=C:Program FilesCyberLinkPowerDVDPDVDServ.exe [2003-10-31 32768]
«NvCplDaemon»=C:WINDOWSsystem32NvCpl.dll [2005-12-10 7311360]
«nwiz»=nwiz.exe /install []
«NvMediaCenter»=C:WINDOWSsystem32NvMcTray.dll [2005-12-10 86016]
«Kerish-Antivirus»=C:Program FilesKerishAV2005Antivirus.exe startcheck []
«SpIDerAgent»=C:Program FilesDrWebSpIDerAgent.exe []
«SpIDerMail»=C:Program FilesDrWebspiderml.exe []
«SpIDerGate»=C:Program FilesDrWebspidergate.exe -autorun []
«SpIDerNT»=C:PROGRA~1DrWebspiderui.exe /agent []
«QuickTime Task»=C:Program FilesQuickTimeqttask.exe [2009-03-08 282624]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2004-08-17 25088]
«KabAuth»=C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe [2009-09-23 877568]
«SpybotSD TeaTimer»=C:Program FilesSpybot — Search & DestroyTeaTimer.exe [2008-07-07 2156368]
«MSMSGS»=C:Program FilesMessengermsmsgs.exe [2004-10-13 1825792]
«uTorrent»=C:Program FilesuTorrentuTorrent.exe []

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«Sputnik@Mail.Ru»=C:DOCUME~1USER~1.1-FLOCALS~1TempSputnikInstaller.exe /s:C:Program FilesMail.RuSputnik []

C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
MultiLex Universal Hotkeys.lnk — C:Program FilesMediaLinguaMultiLex 3.5HKML_SRV.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2006-05-09 52224]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm.sys]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoDriveAutoRun»=FFFFFFFF
«NoDrives»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveAutoRun»=
«NoDriveTypeAutoRun»=
«NoDrives»=
«HonorAutoRunSetting»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{83e12380-2104-11de-a301-0080485ce56e}]
shellAutoRuncommand — E:xpbkh.com
shellexplorecommand — E:xpbkh.com
shellopencommand — E:xpbkh.com

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{867c9790-49b2-11dc-a073-d9d126cce368}]
shellAutoRuncommand — F:xpbkh.com
shellexplorecommand — F:xpbkh.com
shellopencommand — F:xpbkh.com

======List of files/folders created in the last 1 months======

2009-10-21 21:15:06 —-A—- C:WINDOWSUpdateClientUI.INI
2009-10-15 07:13:39 —-HDC—- C:WINDOWS$NtUninstallKB974455$
2009-10-15 07:13:25 —-HDC—- C:WINDOWS$NtUninstallKB958869$
2009-10-15 07:13:14 —-HDC—- C:WINDOWS$NtUninstallKB969059$
2009-10-15 07:13:05 —-HDC—- C:WINDOWS$NtUninstallKB974112$
2009-10-15 07:12:55 —-HDC—- C:WINDOWS$NtUninstallKB975025$
2009-10-15 07:12:46 —-HDC—- C:WINDOWS$NtUninstallKB974571$
2009-10-15 07:12:27 —-HDC—- C:WINDOWS$NtUninstallKB971486$
2009-10-15 07:12:15 —-HDC—- C:WINDOWS$NtUninstallKB973525$
2009-10-15 07:11:29 —-HDC—- C:WINDOWS$NtUninstallKB975467$
2009-10-03 17:02:20 —-D—- C:rsit
2009-10-03 16:55:18 —-D—- C:Program FilesOpera

======List of files/folders modified in the last 1 months======

2009-10-28 20:43:55 —-D—- C:Program Filestrend micro
2009-10-28 20:32:06 —-D—- C:WINDOWSTemp
2009-10-27 19:06:35 —-A—- C:WINDOWSSchedLgU.Txt
2009-10-27 15:46:10 —-SD—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application DataMicrosoft
2009-10-27 11:21:12 —-D—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datakabauth
2009-10-27 10:13:11 —-A—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datamsmedia.dll
2009-10-25 17:50:21 —-D—- C:Program FilesДлинные нарды 2.0
2009-10-25 14:04:05 —-D—- C:WINDOWSsystem32
2009-10-25 14:04:04 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-10-21 21:15:06 —-D—- C:WINDOWS
2009-10-21 20:55:44 —-SHD—- C:WINDOWSInstaller
2009-10-18 12:24:22 —-D—- C:WINDOWSPrefetch
2009-10-18 12:07:09 —-AC—- C:WINDOWScompedia.ini
2009-10-15 07:16:04 —-D—- C:WINDOWSinf
2009-10-15 07:15:58 —-D—- C:WINDOWSsystem32CatRoot2
2009-10-15 07:13:50 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-10-15 07:13:49 —-D—- C:Program FilesInternet Explorer
2009-10-15 07:13:32 —-HD—- C:WINDOWS$hf_mig$
2009-10-15 07:13:28 —-A—- C:WINDOWSimsins.BAK
2009-10-15 07:13:25 —-D—- C:WINDOWSWinSxS
2009-10-15 07:06:54 —-A—- C:WINDOWSNeroDigital.ini
2009-10-11 09:06:51 —-D—- C:Program FilesИгры
2009-10-10 12:19:26 —-D—- C:Program FilesSmeshariki
2009-10-03 17:38:49 —-D—- C:Program FilesValve
2009-10-03 17:36:32 —-RD—- C:Program Files
2009-10-03 17:36:29 —-D—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application DatauTorrent

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 P3;Драйвер Intel PentiumIII процессора; C:WINDOWSsystem32DRIVERSp3.sys [2004-08-17 46848]
R3 ac97intc;Intel(r) 82801 служба установки аудиодрайвера (WDM); C:WINDOWSsystem32driversac97intc.sys [2001-08-18 96256]
R3 nm;Драйвер сетевого монитора; C:WINDOWSsystem32DRIVERSNMnt.sys [2004-08-03 40320]
R3 NPF;NetGroup Packet Filter Driver; C:WINDOWSsystem32driversnpf.sys [2007-11-07 34064]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2005-12-10 3536768]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSsystem32DRIVERSRTL8139.SYS [2004-08-04 20992]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2004-08-03 57600]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2004-08-03 20480]
S3 BlueletAudio;Bluetooth Audio Service; C:WINDOWSsystem32DRIVERSblueletaudio.sys []
S3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:WINDOWSsystem32DRIVERSBlueletSCOAudio.sys []
S3 BT;Bluetooth PAN Network Adapter; C:WINDOWSsystem32DRIVERSbtnetdrv.sys []
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:WINDOWSSystem32Driversbtcusb.sys []
S3 BTHidEnum;Bluetooth HID Enumerator; C:WINDOWSsystem32DRIVERSvbtenum.sys []
S3 CCDECODE;Closed Caption декодер; C:WINDOWSsystem32DRIVERSCCDECODE.sys [2004-08-04 17024]
S3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2001-10-20 9600]
S3 MODEMCSA;Устройство фильтрации потока Unimodem; C:WINDOWSsystem32driversMODEMCSA.sys [2001-08-17 16128]
S3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-10-20 12160]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:WINDOWSsystem32driversMSTEE.sys [2004-08-04 5504]
S3 NABTSFEC;NABTS/FEC VBI кодек; C:WINDOWSsystem32DRIVERSNABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft видео или ТВ подключение; C:WINDOWSsystem32DRIVERSNdisIP.sys [2004-08-04 10880]
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversccdcmb.sys [2008-05-02 17536]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:WINDOWSSystem32DriversRootMdm.sys [2001-10-20 5888]
S3 SLIP;BDA Slip De-Framer; C:WINDOWSsystem32DRIVERSSLIP.sys [2004-08-04 11136]
S3 streamip;BDA IPSink; C:WINDOWSsystem32DRIVERSStreamIP.sys [2004-08-04 15360]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-04 26496]
S3 VComm;Virtual Serial port driver; C:WINDOWSsystem32DRIVERSVComm.sys []
S3 VcommMgr;Bluetooth VComm Manager Service; C:WINDOWSSystem32DriversVcommMgr.sys []
S3 Wdf01000;Wdf01000; C:WINDOWSsystem32DRIVERSWdf01000.sys [2006-11-02 492000]
S3 Winachcf;Winachcf; C:WINDOWSsystem32DRIVERSwinachcf.sys []
S3 WpdUsb;WpdUsb; C:WINDOWSsystem32DRIVERSwpdusb.sys [2006-05-09 40704]
S3 WSTCODEC;World Standard Teletext кодек; C:WINDOWSsystem32DRIVERSWSTCODEC.SYS [2004-08-04 19328]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-04-11 87808]
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2001-10-20 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 2GIS UpdateClientService;2GIS UpdateClientService; C:Program Files2gisUpdateClientWin32UpdateClientService.exe [2008-09-17 1134592]
R2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe [2005-12-10 131139]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2004-08-17 14336]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe [2005-04-04 69632]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:Program FilesWinPcaprpcapd.exe [2007-11-07 92792]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:Program FilesWindows Media PlayerWMPNetwk.exe [2006-05-17 824832]

EOF
28 октября, 2009 в 3:53 пп #26582
niger
Participant
- Темы:6
- Сообщений:33
Кстати комп стал ужасно тормозить!!!!!
2 ноября, 2009 в 4:24 пп #26583
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте.

К компьютеру так же подключали заражённые внешние диски (флешки).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Скачайте OTM by OldTimer кликнув по этой ссылке.
Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.
```
:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{26F4606E-8855-789A-50E6-16188A2DFEDC}]

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{83e12380-2104-11de-a301-0080485ce56e}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{867c9790-49b2-11dc-a073-d9d126cce368}]



:files

C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datamsmedia.dll



:Commands

[emptytemp]

[Reboot]
```
Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
13 ноября, 2009 в 2:26 пп #26584
niger
Participant
- Темы:6
- Сообщений:33
Здравствуйте! Всё сделал! Вот логи:
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{26F4606E-8855-789A-50E6-16188A2DFEDC} not found.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{26F4606E-8855-789A-50E6-16188A2DFEDC} not found.
Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888} deleted successfully.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{88888888-8888-8888-8888-888888888888} not found.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{83e12380-2104-11de-a301-0080485ce56e} deleted successfully.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{83e12380-2104-11de-a301-0080485ce56e} not found.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{867c9790-49b2-11dc-a073-d9d126cce368} deleted successfully.
Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{867c9790-49b2-11dc-a073-d9d126cce368} not found.
========== FILES ==========
File/Folder C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datamsmedia.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 517987 bytes

User: TEMP

User: user
->Temp folder emptied: 110911801 bytes
->Temporary Internet Files folder emptied: 86223173 bytes

User: user.1-F23B81FC8DDD4
->Temp folder emptied: 57007322 bytes
->Temporary Internet Files folder emptied: 232100075 bytes
->Opera cache emptied: 2744048 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Гость
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114294 bytes
%systemroot%System32 .tmp files removed: 2352717 bytes
Windows Temp folder emptied: 2493285 bytes
%systemroot%system32configsystemprofileLocal SettingsTemp folder emptied: 0 bytes
%systemroot%system32configsystemprofileLocal SettingsTemporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2331086798 bytes

Total Files Cleaned = -1399,34 mb

OTM by OldTimer — Version 3.1.1.0 log created on 11132009_184508
All processes killed

OTM by OldTimer — Version 3.1.1.0 log created on 11132009_184457

Files moved on Reboot…

Registry entries deleted on Reboot…

Вот RSIT лог:
Logfile of random’s system information tool 1.06 (written by random/random)
Run by user at 2009-11-13 19:22:53
Microsoft Windows XP Professional Service Pack 2
System drive C: has 4 GB (14%) free of 29 GB
Total RAM: 255 MB (13% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:14, on 13.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:PROGRA~1DrWebspiderui.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesDrWebspiderml.exe
C:Program FilesDrWebDRWEBSCD.EXE
C:WINDOWSsystem32ctfmon.exe
C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:Program FilesMessengermsmsgs.exe
C:Program Files2gisUpdateClientWin32UpdateClientService.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesOperaopera.exe
C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столRSIT.exe
C:Program Filestrend microuser.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://ya.ru/?clid=41124
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {95289393-33EA-4F8D-B952-483415B9C955} — (no file)
R3 — URLSearchHook: (no name) — — (no file)
R3 — URLSearchHook: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP1.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O2 — BHO: (no name) — {88888888-8888-8888-8888-888888888888} — (no file)
O2 — BHO: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP1.dll
O3 — Toolbar: MyPlayCityRU Toolbar — {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — C:Program FilesMyPlayCityRUtbMyP1.dll
O3 — Toolbar: Яндекс.Бар — {91397D20-1446-11D4-8AF4-0040CA1127B6} — C:Program FilesYandexYandexBarIEyndbar.dll
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [RemoteControl] «C:Program FilesCyberLinkPowerDVDPDVDServ.exe»
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [Kerish-Antivirus] C:Program FilesKerishAV2005Antivirus.exe startcheck
O4 — HKLM..Run: [SpIDerAgent] «C:Program FilesDrWebSpIDerAgent.exe»
O4 — HKLM..Run: [SpIDerGate] «C:Program FilesDrWebspidergate.exe» -autorun
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKLM..Run: [QuickTime Task] «C:Program FilesQuickTimeqttask.exe» -atboottime
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [DrWebScheduler] «C:Program FilesDrWebDRWEBSCD.EXE»
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [KabAuth] C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKCU..Run: [MSMSGS] «C:Program FilesMessengermsmsgs.exe» /background
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..RunOnce: [Sputnik@Mail.Ru] C:DOCUME~1USER~1.1-FLOCALS~1TempSputnikInstaller.exe /s:C:Program FilesMail.RuSputnik
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Перевод — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — (no file)
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search && Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:Program FilesSpybot — Search & DestroySDHelper.dll
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: Перевод — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — C:Program FilesX-Translator DIAMONDPROMTIE4promtie5.htm (HKCU)
O9 — Extra ‘Tools’ menuitem: Перевести — {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — C:Program FilesX-Translator DIAMONDPROMTIE4promtie5.htm (HKCU)
O9 — Extra button: (no name) — {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — C:Program FilesX-Translator DIAMONDPROMTIE4options.htm (HKCU)
O9 — Extra ‘Tools’ menuitem: Настройка перевода — {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — C:Program FilesX-Translator DIAMONDPROMTIE4options.htm (HKCU)
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O17 — HKLMSystemCCSServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O17 — HKLMSystemCS1ServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O17 — HKLMSystemCS2ServicesTcpip..{26CBF977-982B-44C1-A948-9D894CF79C7E}: NameServer = 87.224.197.1,87.224.213.1
O23 — Service: 2GIS UpdateClientService — ДубльГИС — C:Program Files2gisUpdateClientWin32UpdateClientService.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) — CACE Technologies — C:Program FilesWinPcaprpcapd.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 8427 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx [2001-03-02 37808]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection — C:Program FilesSpybot — Search & DestroySDHelper.dll [2008-07-07 1562448]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]
MyPlayCityRU Toolbar — C:Program FilesMyPlayCityRUtbMyP1.dll [2009-11-10 2166296]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{dfbeb35b-444d-4f25-8d7d-eb2683c206ec} — MyPlayCityRU Toolbar — C:Program FilesMyPlayCityRUtbMyP1.dll [2009-11-10 2166296]
{91397D20-1446-11D4-8AF4-0040CA1127B6} — Яндекс.Бар — C:Program FilesYandexYandexBarIEyndbar.dll [2009-07-24 5586208]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2001-07-09 155648]
«RemoteControl»=C:Program FilesCyberLinkPowerDVDPDVDServ.exe [2003-10-31 32768]
«NvCplDaemon»=C:WINDOWSsystem32NvCpl.dll [2005-12-10 7311360]
«nwiz»=nwiz.exe /install []
«NvMediaCenter»=C:WINDOWSsystem32NvMcTray.dll [2005-12-10 86016]
«Kerish-Antivirus»=C:Program FilesKerishAV2005Antivirus.exe startcheck []
«SpIDerAgent»=C:Program FilesDrWebSpIDerAgent.exe []
«SpIDerGate»=C:Program FilesDrWebspidergate.exe -autorun []
«SpIDerNT»=C:PROGRA~1DrWebspiderui.exe [2008-10-23 197896]
«QuickTime Task»=C:Program FilesQuickTimeqttask.exe [2009-03-08 282624]
«SpIDerMail»=C:Program FilesDrWebspiderml.exe [2008-06-10 501080]
«DrWebScheduler»=C:Program FilesDrWebDRWEBSCD.EXE [2008-05-06 283888]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2004-08-17 25088]
«KabAuth»=C:Documents and Settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe [2009-09-23 877568]
«SpybotSD TeaTimer»=C:Program FilesSpybot — Search & DestroyTeaTimer.exe [2008-07-07 2156368]
«MSMSGS»=C:Program FilesMessengermsmsgs.exe [2004-10-13 1825792]
«uTorrent»=C:Program FilesuTorrentuTorrent.exe []

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«Sputnik@Mail.Ru»=C:DOCUME~1USER~1.1-FLOCALS~1TempSputnikInstaller.exe /s:C:Program FilesMail.RuSputnik []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2006-05-09 52224]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm.sys]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=36
«NoDriveAutoRun»=FFFFFFFF
«NoDrives»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveAutoRun»=
«NoDriveTypeAutoRun»=
«NoDrives»=
«HonorAutoRunSetting»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

======List of files/folders created in the last 1 months======

2009-11-13 18:44:57 —-D—- C:_OTM
2009-11-13 13:00:55 —-D—- C:WINDOWSCSC
2009-11-13 13:00:43 —-A—- C:WINDOWSntbtlog.txt
2009-11-13 12:44:08 —-HDC—- C:WINDOWS$NtUninstallKB969947$
2009-11-13 12:37:19 —-AT—- C:WINDOWSsystem32DRWEBSP.DLL
2009-11-07 19:04:26 —-N—- C:WINDOWSsystem32Iacenc.dll
2009-11-07 19:04:26 —-A—- C:WINDOWSsystem32Iyvu9_32.dll
2009-11-07 19:04:26 —-A—- C:WINDOWSsystem32Ir41_qcx.dll
2009-11-07 19:04:26 —-A—- C:WINDOWSsystem32Ir41_qc.dll
2009-11-07 19:04:26 —-A—- C:WINDOWSsystem32Ir32_32.dll
2009-11-07 19:04:24 —-D—- C:Program FilesIntel
2009-11-07 19:04:24 —-A—- C:WINDOWSsystem32Ir50_qcx.dll
2009-11-07 19:04:24 —-A—- C:WINDOWSsystem32Ir50_qc.dll
2009-11-07 19:04:24 —-A—- C:WINDOWSsystem32Ir50_32.dll
2009-11-03 17:56:20 —-D—- C:Program Files1С
2009-11-03 17:37:58 —-HDC—- C:WINDOWS$NtUninstallKB976749$
2009-10-21 21:15:06 —-A—- C:WINDOWSUpdateClientUI.INI
2009-10-15 07:13:39 —-HDC—- C:WINDOWS$NtUninstallKB974455$
2009-10-15 07:13:25 —-HDC—- C:WINDOWS$NtUninstallKB958869$
2009-10-15 07:13:14 —-HDC—- C:WINDOWS$NtUninstallKB969059$
2009-10-15 07:13:05 —-HDC—- C:WINDOWS$NtUninstallKB974112$
2009-10-15 07:12:55 —-HDC—- C:WINDOWS$NtUninstallKB975025$
2009-10-15 07:12:46 —-HDC—- C:WINDOWS$NtUninstallKB974571$
2009-10-15 07:12:27 —-HDC—- C:WINDOWS$NtUninstallKB971486$
2009-10-15 07:12:15 —-HDC—- C:WINDOWS$NtUninstallKB973525$
2009-10-15 07:11:29 —-HDC—- C:WINDOWS$NtUninstallKB975467$

======List of files/folders modified in the last 1 months======

2009-11-13 19:23:09 —-D—- C:Program Filestrend micro
2009-11-13 19:23:00 —-D—- C:WINDOWSPrefetch
2009-11-13 19:18:16 —-D—- C:WINDOWSTemp
2009-11-13 18:50:44 —-D—- C:WINDOWSsystem32
2009-11-13 18:50:43 —-D—- C:WINDOWS
2009-11-13 18:36:04 —-SHD—- C:WINDOWSInstaller
2009-11-13 18:30:37 —-D—- C:Program FilesDrWeb
2009-11-13 18:28:19 —-D—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application Datakabauth
2009-11-13 14:25:01 —-A—- C:WINDOWSSchedLgU.Txt
2009-11-13 13:01:13 —-D—- C:WINDOWSinf
2009-11-13 13:01:11 —-D—- C:WINDOWSsystem32CatRoot2
2009-11-13 12:44:18 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-11-13 12:43:15 —-HD—- C:WINDOWS$hf_mig$
2009-11-13 12:37:05 —-HD—- C:Program FilesInstallShield Installation Information
2009-11-08 17:12:09 —-D—- C:WINDOWSHelp
2009-11-08 17:09:30 —-D—- C:Program FilesЛунтик. Математика
2009-11-07 20:11:46 —-A—- C:WINDOWSwin.ini
2009-11-07 19:56:16 —-RD—- C:Program Files
2009-11-07 18:28:17 —-D—- C:Program FilesRussobit-M
2009-11-07 15:32:06 —-D—- C:Program FilesДлинные нарды 2.0
2009-11-06 18:00:38 —-A—- C:WINDOWSsystem32nwsrmodn.dll
2009-11-04 10:37:34 —-AC—- C:WINDOWScompedia.ini
2009-11-03 23:02:20 —-A—- C:WINDOWSNeroDigital.ini
2009-11-03 17:38:12 —-A—- C:WINDOWSimsins.BAK
2009-11-01 18:12:14 —-D—- C:games
2009-11-01 18:11:26 —-D—- C:Program FilesQIP
2009-10-31 18:32:46 —-D—- C:WINDOWSlhsp
2009-10-31 18:31:09 —-D—- C:WINDOWSsystem32Macromed
2009-10-31 18:30:52 —-D—- C:Program FilesSmeshariki
2009-10-27 15:46:10 —-SD—- C:Documents and Settingsuser.1-F23B81FC8DDD4Application DataMicrosoft
2009-10-25 14:04:04 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-10-20 05:08:11 —-A—- C:WINDOWSsystem32mshtml.dll
2009-10-15 07:13:49 —-D—- C:Program FilesInternet Explorer
2009-10-15 07:13:25 —-D—- C:WINDOWSWinSxS

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 P3;Драйвер Intel PentiumIII процессора; C:WINDOWSsystem32DRIVERSp3.sys [2004-08-17 46848]
R1 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2001-10-20 12032]
R3 ac97intc;Intel(r) 82801 служба установки аудиодрайвера (WDM); C:WINDOWSsystem32driversac97intc.sys [2001-08-18 96256]
R3 nm;Драйвер сетевого монитора; C:WINDOWSsystem32DRIVERSNMnt.sys [2004-08-03 40320]
R3 NPF;NetGroup Packet Filter Driver; C:WINDOWSsystem32driversnpf.sys [2007-11-07 34064]
R3 nv;nv; C:WINDOWSsystem32DRIVERSnv4_mini.sys [2005-12-10 3536768]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSsystem32DRIVERSRTL8139.SYS [2004-08-04 20992]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2004-08-03 57600]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2004-08-03 20480]
S3 BlueletAudio;Bluetooth Audio Service; C:WINDOWSsystem32DRIVERSblueletaudio.sys []
S3 BlueletSCOAudio;Bluetooth SCO Audio Service; C:WINDOWSsystem32DRIVERSBlueletSCOAudio.sys []
S3 BT;Bluetooth PAN Network Adapter; C:WINDOWSsystem32DRIVERSbtnetdrv.sys []
S3 Btcsrusb;Bluetooth USB For Bluetooth Service; C:WINDOWSSystem32Driversbtcusb.sys []
S3 BTHidEnum;Bluetooth HID Enumerator; C:WINDOWSsystem32DRIVERSvbtenum.sys []
S3 CCDECODE;Closed Caption декодер; C:WINDOWSsystem32DRIVERSCCDECODE.sys [2004-08-04 17024]
S3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2001-10-20 9600]
S3 MODEMCSA;Устройство фильтрации потока Unimodem; C:WINDOWSsystem32driversMODEMCSA.sys [2001-08-17 16128]
S3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-10-20 12160]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:WINDOWSsystem32driversMSTEE.sys [2004-08-04 5504]
S3 NABTSFEC;NABTS/FEC VBI кодек; C:WINDOWSsystem32DRIVERSNABTSFEC.sys [2004-08-04 85376]
S3 NdisIP;Microsoft видео или ТВ подключение; C:WINDOWSsystem32DRIVERSNdisIP.sys [2004-08-04 10880]
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversccdcmb.sys [2008-05-02 17536]
S3 ROOTMODEM;Microsoft Legacy Modem Driver; C:WINDOWSSystem32DriversRootMdm.sys [2001-10-20 5888]
S3 SLIP;BDA Slip De-Framer; C:WINDOWSsystem32DRIVERSSLIP.sys [2004-08-04 11136]
S3 streamip;BDA IPSink; C:WINDOWSsystem32DRIVERSStreamIP.sys [2004-08-04 15360]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-04 26496]
S3 VComm;Virtual Serial port driver; C:WINDOWSsystem32DRIVERSVComm.sys []
S3 VcommMgr;Bluetooth VComm Manager Service; C:WINDOWSSystem32DriversVcommMgr.sys []
S3 Wdf01000;Wdf01000; C:WINDOWSsystem32DRIVERSWdf01000.sys [2006-11-02 492000]
S3 Winachcf;Winachcf; C:WINDOWSsystem32DRIVERSwinachcf.sys []
S3 WpdUsb;WpdUsb; C:WINDOWSsystem32DRIVERSwpdusb.sys [2006-05-09 40704]
S3 WSTCODEC;World Standard Teletext кодек; C:WINDOWSsystem32DRIVERSWSTCODEC.SYS [2004-08-04 19328]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-04-11 87808]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 2GIS UpdateClientService;2GIS UpdateClientService; C:Program Files2gisUpdateClientWin32UpdateClientService.exe [2008-09-17 1134592]
R2 NVSvc;NVIDIA Display Driver Service; C:WINDOWSsystem32nvsvc32.exe [2005-12-10 131139]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2004-08-17 14336]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe [2005-04-04 69632]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 rpcapd;Remote Packet Capture Protocol v.0 (experimental); C:Program FilesWinPcaprpcapd.exe [2007-11-07 92792]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:Program FilesWindows Media PlayerWMPNetwk.exe [2006-05-17 824832]

EOF
15 ноября, 2009 в 5:39 пп #26585
Admin
Keymaster
- Темы:40
- Сообщений:5676
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
18 ноября, 2009 в 2:30 пп #26588
niger
Participant
- Темы:6
- Сообщений:33
Здравствуйте! Все сделал!Лента все еще есть в опере, а в Эксплорере нет! Вот лог:
ComboFix 09-11-18.06 — user 18.11.2009 19:12.5.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.255.125 [GMT 5:00]
Running from: c:documents and settingsuser.1-F23B81FC8DDD4Рабочий столComboFix.exe
Command switches used :: c:documents and settingsuser.1-F23B81FC8DDD4Рабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:windowspi.exe
c:windowssystem32ieuinit.inf
c:windowssystem32nwsrmodn.dll

BITS: Possible infected sites

hxxp://sus.telenet.ru
hxxp://soft.export.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2009-10-18 to 2009-11-18 )))))))))))))))))))))))))))))))
.

2009-11-17 14:48 . 2009-11-17 14:48

d

w- C:Downloads
2009-11-17 14:48 . 2007-12-18 08:56 1412608 —-a-w- c:documents and settingsuser.1-F23B81FC8DDD4Application DataDownload Mastertempskin.dll
2009-11-17 14:48 . 2009-11-17 14:48

d

w- c:documents and settingsuser.1-F23B81FC8DDD4Application DataDownload Master
2009-11-17 14:47 . 2009-11-18 06:07

d

w- c:program filesDownload Master
2009-11-17 14:13 . 2009-11-17 14:13

d—h—w- c:windowsPIF
2009-11-16 12:02 . 2009-11-16 12:02

d

w- c:documents and settingsAll UsersApplication DatanView_Profiles
2009-11-13 13:44 . 2009-11-13 13:44

d

w- C:_OTM
2009-11-13 07:37 . 2009-11-16 12:08 77824 —-atw- c:windowssystem32DRWEBSP.DLL
2009-11-07 14:04 . 1998-05-07 05:57 143872

w- c:windowssystem32Iacenc.dll
2009-11-07 14:04 . 1997-06-13 03:56 56832 —-a-w- c:windowssystem32Iyvu9_32.dll
2009-11-07 14:04 . 1997-06-10 13:11 338432 —-a-w- c:windowssystem32Ir41_qcx.dll
2009-11-07 14:04 . 1997-06-10 13:09 120320 —-a-w- c:windowssystem32Ir41_qc.dll
2009-11-07 14:04 . 1995-11-07 07:46 199168 —-a-w- c:windowssystem32Ir32_32.dll
2009-11-07 14:04 . 2009-11-07 14:04

d

w- c:program filesIntel
2009-11-07 14:04 . 1998-04-22 07:21 739328 —-a-w- c:windowssystem32Ir50_32.dll
2009-11-07 14:04 . 1997-11-06 07:51 181760 —-a-w- c:windowssystem32Ir50_qcx.dll
2009-11-07 14:04 . 1997-11-06 07:47 198144 —-a-w- c:windowssystem32Ir50_qc.dll
2009-11-03 12:56 . 2009-11-03 12:56

d

w- c:program files1С

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-18 06:35 . 2009-06-01 12:05

d

w- c:program filesДлинные нарды 2.0
2009-11-17 13:36 . 2009-08-07 15:18

d

w- c:documents and settingsuser.1-F23B81FC8DDD4Application DatauTorrent
2009-11-17 11:10 . 2009-01-02 10:46

d

w- c:documents and settingsuser.1-F23B81FC8DDD4Application Datakabauth
2009-11-16 15:25 . 2009-02-06 14:41

d

w- c:program filesDrWeb
2009-11-16 06:35 . 2009-03-02 04:57

d

w- c:program filesЛунтик. Математика
2009-11-16 06:35 . 2008-05-09 12:04

d

w- c:program filesSmeshariki
2009-11-13 14:23 . 2009-01-14 14:11

d

w- c:program filestrend micro
2009-11-13 07:37 . 1999-12-31 23:03

d—h—w- c:program filesInstallShield Installation Information
2009-11-07 13:28 . 2007-09-20 16:46

d

w- c:program filesRussobit-M
2009-11-01 13:11 . 2009-02-05 13:33

d

w- c:program filesQIP
2009-10-25 09:04 . 2001-10-20 08:00 50408 —-a-w- c:windowssystem32perfc019.dat
2009-10-25 09:04 . 2001-10-20 08:00 349532 —-a-w- c:windowssystem32perfh019.dat
2009-10-11 04:06 . 2008-12-14 15:14

d

w- c:program filesИгры
2009-10-03 12:38 . 2009-01-18 12:54

d

w- c:program filesValve
2009-10-03 11:55 . 2009-10-03 11:55

d

w- c:program filesOpera
2009-09-25 05:57 . 2004-08-17 11:04 662528 —-a-w- c:windowssystem32wininet.dll
2009-09-25 05:57 . 2004-08-17 11:04 81920 —-a-w- c:windowssystem32ieencode.dll
2009-09-11 14:35 . 2004-08-17 11:04 133632 —-a-w- c:windowssystem32msv1_0.dll
2009-09-04 20:47 . 2004-08-17 11:04 58880 —-a-w- c:windowssystem32msasn1.dll
2009-08-26 08:16 . 2004-08-17 11:04 247326 —-a-w- c:windowssystem32strmdll.dll
.

Sigcheck

[-] 2004-08-17 . 3720D2EBBEE470FE64E7BDA0F065E2A6 . 543232 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
[-] 2004-08-17 . 3720D2EBBEE470FE64E7BDA0F065E2A6 . 543232 . . [5.1.2600.2180] . . c:windowssystem32dllcachewinlogon.exe
[7] 2004-08-17 . BA9DF5930B2582C31C0C8E52C94DDA48 . 503808 . . [5.1.2600.2180] . . c:windowsVistaMizeroldwinlogon.exe

[-] 2006-08-25 . 1FAB93EE3596276EB3AF2C68348CE505 . 724992 . . [5.82] . . c:windowssystem32comctl32.dll
[-] 2006-08-25 . 1FAB93EE3596276EB3AF2C68348CE505 . 724992 . . [5.82] . . c:windowssystem32dllcachecomctl32.dll
[7] 2006-08-25 . BA0065C83F4E340C8FD05EECF199A48E . 617472 . . [5.82] . . c:windowsVistaMizeroldcomctl32.dll
[7] 2004-08-17 . 25F44B4C9CF3A7E254BEF0A3327A3AC9 . 611328 . . [5.82] . . c:windows$NtUninstallKB923191$comctl32.dll

[-] 2007-06-13 . 88691AFC768F1CBEE2FA07711C3750B0 . 1552384 . . [6.00.2900.3156] . . c:windowsexplorer.exe
[-] 2007-06-13 . 88691AFC768F1CBEE2FA07711C3750B0 . 1552384 . . [6.00.2900.3156] . . c:windowssystem32dllcacheexplorer.exe
[7] 2007-06-13 . 3630DBB63BAD434E3B1F39C2B61FC62F . 1033728 . . [6.00.2900.3156] . . c:windowsVistaMizeroldexplorer.exe
[7] 2007-06-13 . A1BFBE52E8865C5641AC6EB1CEE8DB26 . 1033728 . . [6.00.2900.3156] . . c:windows$hf_mig$KB938828SP2QFEexplorer.exe
[7] 2004-08-17 . 7637F34CBB1FD9076BDFB13F4EB72A1C . 1032704 . . [6.00.2900.2180] . . c:windows$NtUninstallKB938828$explorer.exe

[-] 2004-08-17 . 220104F27B0518D87249F5D05E8CAF5D . 25088 . . [5.1.2600.2180] . . c:windowssystem32ctfmon.exe
[-] 2004-08-17 . 220104F27B0518D87249F5D05E8CAF5D . 25088 . . [5.1.2600.2180] . . c:windowssystem32dllcachectfmon.exe
[7] 2004-08-17 . CDC69C55CF6C39162451685020CF6F06 . 15360 . . [5.1.2600.2180] . . c:windowsVistaMizeroldctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}»= «c:program filesMyPlayCityRUtbMyP1.dll» [2009-11-10 2166296]

[HKEY_CLASSES_ROOTclsid{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]

[HKEY_LOCAL_MACHINE~Browser Helper Objects{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]
2009-11-10 10:15 2166296 —-a-w- c:program filesMyPlayCityRUtbMyP1.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}»= «c:program filesMyPlayCityRUtbMyP1.dll» [2009-11-10 2166296]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2009-07-24 5586208]

[HKEY_CLASSES_ROOTclsid{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{DFBEB35B-444D-4F25-8D7D-EB2683C206EC}»= «c:program filesMyPlayCityRUtbMyP1.dll» [2009-11-10 2166296]

[HKEY_CLASSES_ROOTclsid{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«KabAuth»=»c:documents and settingsuser.1-F23B81FC8DDD4Рабочий столkabauth.exe» [2009-09-23 877568]
«SpybotSD TeaTimer»=»c:program filesSpybot — Search & DestroyTeaTimer.exe» [2008-07-07 2156368]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-13 1825792]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2003-10-31 32768]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2005-12-09 7311360]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2005-12-09 86016]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2009-03-08 282624]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2008-06-10 501080]
«nwiz»=»nwiz.exe» — c:windowssystem32nwiz.exe [2005-12-09 1519616]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 25088]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001
«FirewallOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=

R3 NPF;NetGroup Packet Filter Driver;c:windowssystem32driversnpf.sys [07.11.2007 1:22 34064]
S2 2GIS UpdateClientService;2GIS UpdateClientService;c:program files2gisUpdateClientWin32UpdateClientService.exe [17.09.2008 11:03 1134592]

— Other Services/Drivers In Memory —

*NewlyCreated* — MBR
*NewlyCreated* — PROCEXP113
*Deregistered* — mbr
*Deregistered* — PROCEXP113
.
.

Supplementary Scan

.
uStart Page = hxxp://ya.ru/?clid=41124
uDefault_Search_URL = hxxp://search.qip.ru
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574}
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
LSP: c:windowssystem32DRWEBSP.DLL
TCP: {26CBF977-982B-44C1-A948-9D894CF79C7E} = 87.224.197.1,87.224.213.1
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-uTorrent — c:program filesuTorrentuTorrent.exe
HKLM-Run-Kerish-Antivirus — c:program filesKerishAV2005Antivirus.exe
HKLM-Run-SpIDerAgent — c:program filesDrWebSpIDerAgent.exe
HKLM-Run-SpIDerGate — c:program filesDrWebspidergate.exe
AddRemove-hamsters — c:program filesИгрыHamstersuninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-18 19:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

LOCKED REGISTRY KEYS

[HKEY_USERSS-1-5-21-1123561945-1060284298-767985171-1003SoftwareMicrosoftWindowsCurrentVersionExplorerMenuOrderStart Menu2Programs1*!]
«Order»=hex:08,00,00,00,02,00,00,00,9c,00,00,00,01,00,00,00,01,00,00,00,90,00,
00,00,00,00,00,00,82,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,70,00,31,
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(600)
c:windowssystem32SETUPAPI.dll
c:windowssystem32sfc_os.dll
c:windowssystem32cscui.dll

— — — — — — — > ‘lsass.exe'(656)
c:windowssystem32SETUPAPI.dll
c:windowssystem32DRWEBSP.DLL
.
Completion time: 2009-11-18 19:27
ComboFix-quarantined-files.txt 2009-11-18 14:27

Pre-Run: 3 856 936 960 байт свободно
Post-Run: 4 001 419 264 байт свободно

— — End Of File — — 9A4D4D4C6666B4C3745CF0D1C8E26F1E
18 ноября, 2009 в 3:13 пп #26589
Admin
Keymaster
- Темы:40
- Сообщений:5676
Combofix удалил несколько вредоносных файлов, в остальном лог в порядке. Как работает компьютер ?
18 ноября, 2009 в 3:38 пп #26586
niger
Participant
- Темы:6
- Сообщений:33
Лента с Водонаевой на месте!!!
18 ноября, 2009 в 3:55 пп #26587
Admin
Keymaster
- Темы:40
- Сообщений:5676
Когда ориентировочно проявился этот паразит ?

Проверим компьютер с помощью программы которая ищет руткиты.

Скачайте программу GMER кликнув по этой ссылке.
Распакуйте программу на ваш рабочий стол.
Отключите Интернет и все антивирусы.
Запустите программу.
В правой части программы, в небольшом окошке будут перечислены все ваши диски, пожалуйста выделите их галочками.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Вставьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Сделайте окно GMER активным снова.
В верхней части кликните по кнопке «> > >».
Выберите вкладку Autostart.
Кликните по кнопке Scan.
Когда сканирование закончится, кликните по кнопке Copy.
Запустите Блокнот (Пуск -> Выполнить, введите notepad и нажмите Enter).
Встаьте результаты сканирования в блокнот (CTRL + V). Сохраните получившийся файл на ваш рабочий стол.
Закройте программу GMER.

Вставьте оба лога в ваш следующий ответ.
18 ноября, 2009 в 5:32 пп #26590
niger
Participant
- Темы:6
- Сообщений:33
Вот!
22 ноября, 2009 в 6:34 пп #26591
Admin
Keymaster
- Темы:40
- Сообщений:5676
К сожалению логи не показывают точное наличие точки запуска паразита.
Проверим ещё одной программой.

Скачайте программу Kaspersky® Virus Removal Tool кликнув по этой ссылке.
Закройте все запущенные программы.
Запустите скачанный файл.
Когда программа проинсталлируется и откроется главное окно, выберите в нём все устройства, за исключением СД диска и флоппи диска.
Запустите сканирование.
В конце работы будет возможность сохранить отчёт (для этого кликните по кнопке Отчёты).
Сохраните отчёт на ваш рабочий стол и откройте его в блокноте.
В ваше следующее сообщение вставьте верхнюю часть отчёта вместе с разделом Обнаружено.
23 ноября, 2009 в 1:04 пп #26592
niger
Participant
- Темы:6
- Сообщений:33
Добрый день!

Вот отчет о проделанной работе:

Поиск вирусов : завершен

Проверено: 229803
Обнаружено: 5
Не обработано: 0
Запуск: 23.11.2009 11:31:38
Длительность: 06:22:42
Завершение: 23.11.2009 17:54:20

Обнаружено

Статус Объект

удалено: троянская программа Trojan-Ransom.Win32.Hexzone.afn Файл: C:Documents and SettingsAll UsersApplication Dataxuplib.dll
удалено: троянская программа Trojan-Ransom.Win32.Hexzone.afn Файл: C:Documents and SettingsAll UsersApplication Dataxuplib.dll.dll
удалено: вирус Net-Worm.Win32.Kolabc.how Файл: C:Documents and SettingsuserРабочий столИНТЕРВЬЮ С БОГОМ.exe
удалено: троянская программа Trojan.Win32.BHO.uhn Файл: C:Documents and Settingsuser.1-F23B81FC8DDD4Application Databpfeed.dll
удалено: рекламная программа not-a-virus:AdWare.Win32.MyWay.j Файл: C:Program FilesAWSWxBugSetup60b6.04.0.9m.EXE//WiseSFXDropper//WISE0016.BIN
25 ноября, 2009 в 5:49 пп #26593
Admin
Keymaster
- Темы:40
- Сообщений:5676
Судч по логу утилита от Касперского нашла несколько паразитов и удалила их.
Как сейчас ситуация с рекломой ?
26 ноября, 2009 в 2:55 пп #26594
niger
Participant
- Темы:6
- Сообщений:33
Добрый день!

Вроде реклама пропала)))

Спасибо Вам огромное!!!!!
27 ноября, 2009 в 5:57 пп #26595
Admin
Keymaster
- Темы:40
- Сообщений:5676
Рад что проблема разрешилась 🙂
И ещё, возможно в реестре осталось что-нибудь от этого паразита.

Скачайте программу RegSearch кликнув по этой ссылке.
Запустите программу, и в окне «search box», введите:
```
xuplib.dll
```
Кликните по кнопке «Ok».
Когда поиск закончится откроется Блокнот с результатами поиска.
Вставьте его содержимое в ваше следующее сообщение.
Автор

Сообщения

Просмотр 15 сообщений - с 1 по 15 (из 18 всего)

1 2 →

Для ответа в этой теме необходимо авторизоваться.

Снова лента с ВОДОНАЕВОЙ

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки