Троян в системе

[Jet]

Пришлось заходить в безопасном режиме в интернет, в результате в системе имею трояна. Убить не могу. При загрузке компьютера запускается процесс BN1D6.tmp, название файла постояно меняется. Файлы находятся в папке temp. Убийство процесса и файлов не помогают. NOD 32 вроде их видит и очищает, но это не помогает. Надоело сидеть с выключенным интернетом, постоянно идет передача/прием данных.
Заранее спасибо.

Logfile of random’s system information tool 1.06 (written by random/random)
Run by Администратор at 2009-08-18 09:53:39
Microsoft Windows XP Professional Service Pack 3
System drive C: has 37 GB (49%) free of 76 GB
Total RAM: 487 MB (34% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:53:42, on 18.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:Program FilesAGAVA Firewallfwservice.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesAGAVA Firewallfwusrv.exe
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesVistaDriveIconVistaDrv.exe
C:WINDOWSsystem32wuauclt.exe
C:Documents and SettingsАдминистраторРабочий столRSIT.exe
C:Program Filestrend microАдминистратор.exe

R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: TMAgent IE Adapter — {35A6E2B1-27A9-47D2-913C-559E1EF1D034} — C:Program FilesCommon FilesTarget Marketing AgencyTMAgenttmagent.dll
O4 — HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCoresmax4pnp.exe
O4 — HKLM..Run: [AGAVA Update Server] «C:Program FilesAGAVA Firewallfwusrv.exe»
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKLM..Run: [Regedit32] C:WINDOWSsystem32regedit.exe
O4 — HKLM..Run: [TrojanScanner] C:Program FilesTrojan RemoverTrjscan.exe /boot
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O17 — HKLMSystemCCSServicesTcpip..{54E62A43-8AEA-496E-8081-FDC2C2FA3812}: NameServer = 213.59.136.245,194.85.113.244
O23 — Service: Adobe LM Service — Adobe Systems — C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 — Service: ESET HTTP Server (EhttpSrv) — ESET — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: ESET Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: AGAVA Firewall (fwservice) — AGAVA Software — C:Program FilesAGAVA Firewallfwservice.exe
O23 — Service: HP Port Resolver — Hewlett-Packard Company — C:WINDOWSSYSTEM32SPOOLDRIVERSW32X863HPBPRO.EXE
O23 — Service: HP Status Server — Hewlett-Packard Company — C:WINDOWSSYSTEM32SPOOLDRIVERSW32X863HPBOID.EXE
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 4702 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{35A6E2B1-27A9-47D2-913C-559E1EF1D034}]
TMAgent IE Adapter — C:Program FilesCommon FilesTarget Marketing AgencyTMAgenttmagent.dll [2009-08-17 1149952]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SoundMAXPnP»=C:Program FilesAnalog DevicesCoresmax4pnp.exe [2007-03-16 868352]
«AGAVA Update Server»=C:Program FilesAGAVA Firewallfwusrv.exe [2009-05-29 221696]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2009-05-14 2029640]
«Regedit32″=C:WINDOWSsystem32regedit.exe []
«TrojanScanner»=C:Program FilesTrojan RemoverTrjscan.exe [2009-05-18 1059720]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2008-04-25 17408]
«VistaIcon»=C:Program FilesVistaDriveIconVistaDrv.exe [2008-03-23 132096]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAnti Trojan Elite]
C:Program FilesAnti Trojan EliteTJEnder.exe :NO []

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHotKeysCmds]
C:WINDOWSsystem32hkcmd.exe [2007-12-19 159744]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregIgfxTray]
C:WINDOWSsystem32igfxtray.exe [2007-12-19 135168]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregmsword98]
C:WINDOWSsystem32msword98.exe []

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPersistence]
C:WINDOWSsystem32igfxpers.exe [2007-12-19 131072]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRegedit32]
C:WINDOWSsystem32regedit.exe []

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregservices]
C:WINDOWSservices.exe []

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregYupdate!]
C:Program FilesCommon FilesYandexYupdateyupdate.exe [2008-10-20 479496]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
C:PROGRA~1AdobeACROBA~1.0ReaderREADER~1.EXE [2004-12-14 29696]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyigfxcui]
C:WINDOWSsystem32igfxdev.dll [2007-12-19 208896]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2008-03-21 133632]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1
«SynchronousMachineGroupPolicy»=0
«SynchronousUserGroupPolicy»=0

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoThumbnailCache»=1
«NoSMConfigurePrograms»=1

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bf785491-2d69-11de-a275-001d603f8029}]
shellAutoRuncommand — E:autorun.exe

======List of files/folders created in the last 1 months======

2009-08-18 09:31:35 —-D—- C:Program Filestrend micro
2009-08-18 09:31:34 —-D—- C:rsit
2009-08-18 09:12:49 —-A—- C:WINDOWSsystem32ztvunrar36.dll
2009-08-18 09:12:49 —-A—- C:WINDOWSsystem32ztvunace26.dll
2009-08-18 09:12:49 —-A—- C:WINDOWSsystem32ztvcabinet.dll
2009-08-18 09:12:48 —-A—- C:WINDOWSsystem32UNRAR3.dll
2009-08-18 09:12:32 —-D—- C:Documents and SettingsАдминистраторApplication DataSimply Super Software
2009-08-18 09:12:32 —-D—- C:Documents and SettingsAll UsersApplication DataSimply Super Software
2009-08-17 16:40:46 —-D—- C:Program FilesDUHALAB
2009-08-17 14:18:05 —-D—- C:Program FilesAnti Trojan Elite
2009-08-17 14:08:44 —-D—- C:Documents and SettingsАдминистраторApplication DataESET
2009-08-17 14:05:10 —-SHD—- C:Config.Msi
2009-08-17 14:01:17 —-D—- C:Program FilesOpera 10 Beta
2009-08-17 14:00:40 —-D—- C:WINDOWSsystem32appmgmt
2009-08-17 09:29:31 —-A—- C:WINDOWSsystem32igfxres.dll
2009-08-17 09:27:22 —-A—- C:WINDOWSsystem32wisdstr.exe
2009-08-17 09:24:20 —-D—- C:WINDOWSCSC
2009-08-14 15:39:28 —-A—- C:WINDOWSntbtlog.txt

======List of files/folders modified in the last 1 months======

2009-08-18 09:50:18 —-D—- C:WINDOWSTemp
2009-08-18 09:47:32 —-A—- C:WINDOWSSchedLgU.Txt
2009-08-18 09:31:35 —-RD—- C:Program Files
2009-08-18 09:22:59 —-D—- C:Documents and SettingsАдминистраторApplication DataThe Bat!
2009-08-18 09:14:12 —-AD—- C:Documents and SettingsAll UsersApplication DataTEMP
2009-08-18 09:13:44 —-D—- C:WINDOWSPrefetch
2009-08-18 09:12:50 —-D—- C:Program FilesTrojan Remover
2009-08-18 09:12:49 —-D—- C:WINDOWSsystem32
2009-08-18 09:12:32 —-RD—- C:My Documents
2009-08-17 16:40:46 —-D—- C:Program FilesOpera
2009-08-17 16:15:33 —-SH—- C:boot.ini
2009-08-17 16:15:33 —-A—- C:WINDOWSwin.ini
2009-08-17 16:15:33 —-A—- C:WINDOWSsystem.ini
2009-08-17 16:07:46 —-D—- C:WINDOWS
2009-08-17 14:14:17 —-D—- C:Program FilesAGAVA Firewall
2009-08-17 14:08:23 —-SHD—- C:WINDOWSInstaller
2009-08-17 14:08:17 —-HD—- C:WINDOWSinf
2009-08-17 14:08:17 —-D—- C:WINDOWSsystem32drivers
2009-08-17 14:07:46 —-D—- C:WINDOWSsystem32CatRoot2
2009-08-17 14:04:31 —-D—- C:INST
2009-08-17 14:01:24 —-D—- C:Documents and SettingsАдминистраторApplication DataOpera
2009-08-17 12:03:20 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-08-17 11:56:49 —-D—- C:Program FilesMicrosoft Common
2009-08-17 09:59:50 —-D—- C:Program FilesMozilla Firefox
2009-08-17 09:19:26 —-D—- C:Program FilesBanner Maker Pro 6
2009-08-07 16:08:53 —-D—- C:Program FilesDOSBox-0.72
2009-07-22 09:50:38 —-D—- C:Games

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 ehdrv;ehdrv; C:WINDOWSsystem32DRIVERSehdrv.sys [2009-05-14 107256]
R1 epfwtdi;epfwtdi; C:WINDOWSsystem32DRIVERSepfwtdi.sys [2009-05-14 55768]
R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-15 40704]
R2 eamon;eamon; C:WINDOWSsystem32DRIVERSeamon.sys [2009-05-14 114472]
R2 epfw;epfw; C:WINDOWSsystem32DRIVERSepfw.sys [2009-05-14 133000]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:WINDOWSsystem32driversADIHdAud.sys [2007-05-18 304640]
R3 AEAudio;AE Audio Service; C:WINDOWSsystem32driversAEAudio.sys [2007-05-18 94848]
R3 Arp1394;Протокол клиента 1394 ARP; C:WINDOWSsystem32DRIVERSarp1394.sys [2008-04-25 60800]
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:WINDOWSsystem32DRIVERSe1e5132.sys [2007-12-11 242320]
R3 Epfwndis;Eset Personal Firewall; C:WINDOWSsystem32DRIVERSEpfwndis.sys [2009-05-14 33096]
R3 HDAudBus;Драйвер шины Microsoft UAA для High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2008-04-15 144384]
R3 HidUsb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2008-04-25 10368]
R3 ialm;ialm; C:WINDOWSsystem32DRIVERSigxpmp32.sys [2007-12-19 5854688]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-10-19 12160]
R3 MTsensor;ATK0110 ACPI UTILITY; C:WINDOWSsystem32DRIVERSASACPI.sys [2006-02-26 5810]
R3 NIC1394;Сетевой драйвер 1394; C:WINDOWSsystem32DRIVERSnic1394.sys [2008-04-25 61824]
R3 pfc;Padus ASPI Shell; C:WINDOWSsystem32driverspfc.sys [2009-02-25 10368]
R3 SenFiltService;SenFilt Service; C:WINDOWSsystem32driversSenfilt.sys [2006-03-17 392960]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;Драйвер стандартного концентратора USB (Microsoft); C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2008-04-25 15104]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2008-04-15 20608]
S2 ATE_PROCMON;ATE_PROCMON; ??C:Program FilesAnti Trojan EliteATEPMon.sys []
S3 dot4;Драйвер MS IEEE-1284.4; C:WINDOWSsystem32DRIVERSDot4.sys [2008-04-25 206976]
S3 Dot4Print;Драйвер класса принтеров для IEEE-1284.4; C:WINDOWSsystem32DRIVERSDot4Prt.sys [2001-08-18 12928]
S3 dot4usb;Dot4USB фильтр Dot4USB Filter; C:WINDOWSsystem32DRIVERSdot4usb.sys [2001-10-20 23936]
S3 esihdrv;esihdrv; ??C:DOCUME~19335~1LOCALS~1Tempesihdrv.sys []
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-25 26368]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2008-03-21 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2008-03-21 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 ekrn;ESET Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2009-05-14 731840]
R2 fwservice;AGAVA Firewall; C:Program FilesAGAVA Firewallfwservice.exe [2009-05-29 223232]
S3 Adobe LM Service;Adobe LM Service; C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe [2009-02-11 72704]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_state.exe [2004-07-15 32768]
S3 EhttpSrv;ESET HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2009-05-14 20680]
S3 HP Port Resolver;HP Port Resolver; C:WINDOWSSYSTEM32SPOOLDRIVERSW32X863HPBPRO.EXE [2005-05-20 81920]
S3 HP Status Server;HP Status Server; C:WINDOWSSYSTEM32SPOOLDRIVERSW32X863HPBOID.EXE [2004-10-16 73728]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Служба общих сетевых ресурсов проигрывателя Windows Media; C:Program FilesWindows Media PlayerWMPNetwk.exe [2008-03-21 914944]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]

---

EOF

---

info.txt logfile of random’s system information tool 1.06 2009-08-18 09:32:08

======Uninstall list======

—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{11E83B33-972B-4512-A447-FF0FD0246EE9}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{21B6F79B-2286-4BB0-B1E3-BA6B9498D110}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{23EFDB58-0874-4883-9810-EDA510B19FAE}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{27B9131D-CEFA-42C5-8D7D-56EFD80BAA25}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{2BB79C8D-9DCC-4861-8A23-AE1B0B45E2B6}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{2BFBC62A-3353-443D-93BE-7AC641D9F342}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{5D1A81AA-ED90-11D6-86D3-00055DF3561E}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{B100B05B-E290-41EF-9366-8BC4C76D7769}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{B14F9B26-D695-4C4A-8B11-0FE6CDCC797B}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{BDFC3C8D-823E-4FCF-870B-E756B27CB57E}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{D3568156-59C3-42DF-A520-2C25B6706C91}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{E213C271-AEFA-481D-A9B4-914D88925B8D}setup.exe» -l0x9
—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{FAD9402A-1A9B-4ABE-A410-393A3622FA5A}setup.exe» -l0x9
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
ABBYY FineReader 5.0 Sprint—>MsiExec.exe /X{D1696920-9794-4BBC-8A30-7A88763DE5A2}
ACDSee Pro—>MsiExec.exe /I{F99F74B4-972B-4B06-B893-6B3B0DB0128B}
Adobe Flash Player ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Photoshop CS2—>msiexec /I {236BB7C4-4419-42FD-0419-1E257A25E34D}
Adobe Reader 7.0—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A70000000000}
AGAVA Firewall—>»C:Program FilesAGAVA FirewallUninstall.exe»
AusLogics Disk Defrag—>»C:Program FilesAusLogics Disk Defragunins000.exe»
Crystal Button 2.8—>»C:Program FilesCrystalButton2unins000.exe»
CSS Menu Generator 3.5—>»C:Program FilesCSS Menu Generatorunins000.exe»
EPSON Copy Utility—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{B69CC1A5-0404-11D6-ABCB-005004C21D30}setup.exe» -l0x9 ADDREMOVEDLG
EPSON Photo Print—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{9391F2BC-B6F3-4AAC-82CC-5A74A4ED388E}setup.exe» -l0x9 MyUninstall
EPSON Scan—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{0E0131B2-CF18-40D9-A331-60A3746C1204}SETUP.EXE» -l0x19 UNINSTALL
EPSON Smart Panel—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{6C11D561-620B-47DA-A693-4C597F3CDF40}SETUP.EXE» -l0x9 Uninstall
FileZilla Client 3.2.0—>C:Program FilesFileZilla FTP Clientuninstall.exe
HashTab 2.0.8—>C:WINDOWSsystem32ShellExthtdel32.bat
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399)—>»C:WINDOWS$NtUninstallKB929399$spuninstspuninst.exe»
Java(TM) 6 Update 6—>MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
King—>C:Program FilesKinguninst.exe
K-Lite Mega Codec Pack 3.9.5—>»C:Program FilesK-Lite Codec Packunins000.exe»
MapInfo Professional 7.5 SCP—>MsiExec.exe /I{71459C60-8F4A-4587-884A-D1CE73E01B07}
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Compression Client Pack 1.0 for Windows XP—>»C:WINDOWS$NtUninstallMSCompPackV1$spuninstspuninst.exe»
Microsoft Internationalized Domain Names Mitigation APIs—>»C:WINDOWS$NtServicePackUninstallIDNMitigationAPIs$spuninstspuninst.exe»
Microsoft National Language Support Downlevel APIs—>»C:WINDOWS$NtServicePackUninstallNLSDownlevelMapping$spuninstspuninst.exe»
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0—>»C:WINDOWS$NtUninstallWudf01000$spuninstspuninst.exe»
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Mozilla Firefox (2.0.0.20)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
Opera 10.00—>MsiExec.exe /X{EE9F669A-A801-4265-88FF-B958C9A0EA96}
Path2Clipboard 1.0.7.67—>C:WINDOWSsystem32ShellExtP2Cdel.bat
Plugins for Opera—>»C:Program FilesDUHALABPluginunins000.exe»
ScanToWeb—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{EBAE381B-60A6-4863-AA9F-FCAB755BC9E5}setup.exe» ADDREMOVEDLG
The Bat! Professional v4.0.18—>MsiExec.exe /I{9DBC40C8-CB06-41F7-B5CD-0583365F33EB}
TMAgent—>C:Program FilesCommon FilesTarget Marketing AgencyTMAgentUninstaller.exe
Trojan Remover 6.7.9—>»C:Program FilesTrojan Removerunins000.exe»
Vista Drive Icon—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFVistaDrv.inf,Uninstall
Winamp (remove only)—>»C:Program FilesWinampUninstWA.exe»
Windows Internet Explorer 7—>»C:WINDOWSie7spuninstspuninst.exe»
Windows Media Format 11 runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
Windows Media Format 11 runtime—>»C:WINDOWS$NtUninstallWMFDist11$spuninstspuninst.exe»
Windows Media Player 11—>»C:WINDOWS$NtUninstallwmp11$spuninstspuninst.exe»
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Обновление безопасности для Windows XP — (KB941569)—>»C:WINDOWS$NtUninstallKB941569$spuninstspuninst.exe»
Пивной магнат—>C:Program FilesInstallShield Installation Information{16982774-D214-49BA-A2B7-401E4EFBB48C}Setup.exe -runfromtemp -l0x0019 -removeonly
Проигрыватель Windows Media 11—>»C:Program FilesWindows Media PlayerSetup_wm.exe» /Uninstall

======Security center information======

AV: ESET Smart Security 4.0
FW: Персональный файервол ESET
FW: AGAVA Firewall

======System event log======

Computer Name: MICROSOF-8B5F41
Event Code: 7035
Message: Служба «Совместимость быстрого переключения пользователей» успешно отправила управляющий элемент «запустить».

Record Number: 5
Source Name: Service Control Manager
Time Written: 20090727140758.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: MICROSOF-8B5F41
Event Code: 7036
Message: Служба «Службы терминалов» перешла в состояние Работает.

Record Number: 4
Source Name: Service Control Manager
Time Written: 20090727140758.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 33
Message: Intel(R) 82566DM Gigabit Network Connection
Link has been established: 100Mbps full duplex.

Record Number: 3
Source Name: e1express
Time Written: 20090727140647.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 6005
Message: Запущена служба журнала событий.

Record Number: 2
Source Name: EventLog
Time Written: 20090727140621.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090727140621.000000+240
Event Type: информация
User:

=====Application event log=====

Computer Name: MICROSOF-8B5F41
Event Code: 1000
Message: Счетчики производительности для службы MSDTC (MSDTC) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090209112530.000000+180
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 1000
Message: Счетчики производительности для службы TermService (Службы терминалов) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090209112526.000000+180
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 1000
Message: Счетчики производительности для службы RemoteAccess (Маршрутизация и удаленный доступ) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090209112437.000000+180
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 1000
Message: Счетчики производительности для службы PSched (PSched) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090209112415.000000+180
Event Type: информация
User:

Computer Name: MICROSOF-8B5F41
Event Code: 1000
Message: Счетчики производительности для службы RSVP (QoS RSVP) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090209112400.000000+180
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=6
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 15 Stepping 6, GenuineIntel
«PROCESSOR_REVISION»=0f06
«NUMBER_OF_PROCESSORS»=2
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

---

EOF

---

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Извиняюсь за задержку с ответом.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.

[Автор]

Сообщения