• Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы

SPYWARE-RU.COM
Меню
  • Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы
В начало › Троян Wigon HZ
Adguard
 

Троян Wigon HZ

Удаление вирусов и троянов. Защита компьютера. › Помощь в удалении вирусов, троянов, рекламы и других зловредов › Троян Wigon HZ

  • This topic has 8 ответов, 2 участника, and was last updated 16 years, 6 months назад by Admin.
Просмотр 9 сообщений - с 1 по 9 (из 9 всего)
  • Автор
    Сообщения
  • 5 января, 2009 в 2:33 пп #16083
    Laura
    Participant
    • Темы:3
    • Сообщений:13
    • ☆

    NOD 32 определяет вирус как Wigon HZ троян. При удалении файлов появляются новые. Курсор мышки с часиками всё время чтото грузит. Компьютер всё время пытается отправить какой-то файл. Помогите!!!

    6 января, 2009 в 4:12 пп #20824
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Здравствуйте, добро пожаловать на Spyware-ru форум.

    Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
    Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.

    :services
    
acpi32
    
amd64si
    
afcmnr56
    

    
:reg
    
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
    
"AppInit_DLLS"=""
    

    
:files
    
C:WINDOWSsystem32driversacpi32.sys
    
C:WINDOWSsystem32driversamd64si.sys
    
C:WINDOWSsystem32driversafcmnr56.sys
    
C:WINDOWSsystem32mmmetcet.dll

    Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
    По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
    Кроме этого в ваш ответ вставьте свежий RSIT лог.

    6 января, 2009 в 7:30 пп #20825
    Laura
    Participant
    • Темы:3
    • Сообщений:13
    • ☆

    Всё сделала, но результата нет. Этот вирус создал файл с:Documents and Settings Даша Даша.exe, который в автозагрузке и не хочет удаляться. Он создаёт разные ехе файлы в папке с:WINDOWSPrefetch. Пока нашла только там. Не знаю что делать.

    ========== SERVICES/DRIVERS ==========
    Service acpi32 stopped successfully.
    Service acpi32 deleted successfully.
    Service amd64si stopped successfully.
    Service amd64si deleted successfully.
    Unable to stop service afcmnr56 .
    ========== REGISTRY ==========
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows\»AppInit_DLLS»|»» /E : value set successfully!
    ========== FILES ==========
    File/Folder C:WINDOWSsystem32driversacpi32.sys not found.
    File/Folder C:WINDOWSsystem32driversamd64si.sys not found.
    File/Folder C:WINDOWSsystem32driversafcmnr56.sys not found.
    File/Folder C:WINDOWSsystem32mmmetcet.dll not found.

    OTMoveIt3 by OldTimer — Version 1.0.8.0 log created on 01062009_221001

    Logfile of random’s system information tool 1.05 (written by random/random)
    Run by Даша at 2009-01-06 22:12:57
    Microsoft Windows XP Professional Service Pack 2
    System drive C: has 25 MB (0%) free of 15 GB
    Total RAM: 510 MB (34% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:13:02, on 06.01.2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:WINDOWSSystem32smss.exe
    C:WINDOWSsystem32winlogon.exe
    C:WINDOWSsystem32services.exe
    C:WINDOWSsystem32lsass.exe
    C:WINDOWSsystem32Ati2evxx.exe
    C:WINDOWSsystem32svchost.exe
    C:WINDOWSSystem32svchost.exe
    C:WINDOWSsystem32spoolsv.exe
    C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
    C:WINDOWSsystem32DVDRAMSV.exe
    C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
    C:Program FilesEsetnod32krn.exe
    C:WINDOWSsystem32svchost.exe
    C:WINDOWSsystem32Ati2evxx.exe
    C:WINDOWSsystem32WgaTray.exe
    C:WINDOWSExplorer.EXE
    C:WINDOWSAGRSMMSG.exe
    C:Program FilesTOSHIBAЭлементы управления TOSHIBATFncKy.exe
    C:Program FilesEsetnod32kui.exe
    C:WINDOWSsystem32ctfmon.exe
    C:Program FilesDAEMON Tools Litedaemon.exe
    C:Program FilesTOSHIBABluetooth MonitorBtMon2.exe
    D:ДрайвераPicture Package MenuSonyTray.exe
    D:ДрайвераPicture Package ApplicationsResidence.exe
    C:WINDOWSsystem32RAMASST.exe
    C:Program FilesInternet Exploreriexplore.exe
    C:WINDOWSSystem32svchost.exe
    C:Documents and SettingsДашаМои документыOTMoveIt3.exe
    C:Documents and SettingsДашаМои документыRSIT.exe
    C:Program Filestrend microДаша.exe
    C:Documents and SettingsДашаДаша.exe

    R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
    R3 — URLSearchHook: ICQ Toolbar — {855F3B16-6D32-4fe6-8A56-BBB695989046} — C:PROGRA~1ICQTOO~1toolbaru.dll
    O2 — BHO: XTTBPos00 — {055FD26D-3A88-4e15-963D-DC8493744B1D} — C:PROGRA~1ICQTOO~1toolbaru.dll
    O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
    O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.5.0_09binssv.dll
    O2 — BHO: QUICKfind BHO Object — {C08DF07A-3E49-4E25-9AB0-D3882835F153} — C:PROGRA~1IDMQUICKF~1PlugInsIEHelp.dll
    O4 — HKLM..Run: [AGRSMMSG] AGRSMMSG.exe
    O4 — HKLM..Run: [TFncKy] TFncKy.exe
    O4 — HKLM..Run: [CFSServ.exe] CFSServ.exe -NoClient
    O4 — HKLM..Run: [HWSetup] C:Program FilesTOSHIBATOSHIBA AppletHWSetup.exe hwSetUP
    O4 — HKLM..Run: [nod32kui] «C:Program FilesEsetnod32kui.exe» /WAITSERVICE
    O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
    O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
    O4 — HKCU..Run: [DAEMON Tools Lite] «C:Program FilesDAEMON Tools Litedaemon.exe»
    O4 — HKCU..Run: [Даша] C:Documents and SettingsДашаДаша.exe /i
    O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
    O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
    O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
    O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
    O4 — Global Startup: Bluetooth Monitor.lnk = ?
    O4 — Global Startup: Picture Package Menu.lnk = ?
    O4 — Global Startup: Picture Package VCD Maker.lnk = ?
    O4 — Global Startup: RAMASST.lnk = C:WINDOWSsystem32RAMASST.exe
    O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
    O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.5.0_09binssv.dll
    O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.5.0_09binssv.dll
    O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
    O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
    O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
    O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
    O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
    O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
    O17 — HKLMSystemCCSServicesTcpip..{76ED29E4-03B1-4AD8-8B80-BC050EC0B25E}: NameServer = 80.254.10.86 80.254.15.15
    O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
    O23 — Service: ConfigFree Service (CFSvcs) — TOSHIBA CORPORATION — C:Program FilesTOSHIBAConfigFreeCFSvcs.exe
    O23 — Service: DVD-RAM_Service — Matsushita Electric Industrial Co., Ltd. — C:WINDOWSsystem32DVDRAMSV.exe
    O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
    O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
    O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
    O23 — Service: NOD32 Kernel Service (NOD32krn) — Eset — C:Program FilesEsetnod32krn.exe
    O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
    O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
    O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
    O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
    O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
    O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

    —
    End of file — 5939 bytes

    ======Registry dump======

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{055FD26D-3A88-4e15-963D-DC8493744B1D}]
    XTTBPos00 Class — C:PROGRA~1ICQTOO~1toolbaru.dll [2006-12-25 701952]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
    AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx [2001-03-02 37808]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    SSVHelper Class — C:Program FilesJavajre1.5.0_09binssv.dll [2006-09-07 434279]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{C08DF07A-3E49-4E25-9AB0-D3882835F153}]
    QUICKfind BHO Object — C:PROGRA~1IDMQUICKF~1PlugInsIEHelp.dll [2003-06-30 337920]

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
    «AGRSMMSG»=C:WINDOWSAGRSMMSG.exe [2004-12-22 88358]
    «TFncKy»=TFncKy.exe []
    «CFSServ.exe»=CFSServ.exe -NoClient []
    «HWSetup»=C:Program FilesTOSHIBATOSHIBA AppletHWSetup.exe [2004-05-01 28672]
    «nod32kui»=C:Program FilesEsetnod32kui.exe [2007-10-14 949376]
    «NeroFilterCheck»=C:WINDOWSsystem32NeroCheck.exe [2001-07-09 155648]

    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2004-08-17 15360]
    «DAEMON Tools Lite»=C:Program FilesDAEMON Tools Litedaemon.exe [2007-12-14 482760]
    «Даша»=C:Documents and SettingsДашаДаша.exe [2009-01-06 9728]

    C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
    Bluetooth Monitor.lnk — C:Program FilesTOSHIBABluetooth MonitorBtMon2.exe
    Picture Package Menu.lnk — D:ДрайвераPicture Package MenuSonyTray.exe
    Picture Package VCD Maker.lnk — D:ДрайвераPicture Package ApplicationsResidence.exe
    RAMASST.lnk — C:WINDOWSsystem32RAMASST.exe

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
    C:WINDOWSsystem32Ati2evxx.dll [2005-08-04 46080]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon]
    C:WINDOWSsystem32WgaLogon.dll [2007-04-10 236928]

    [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    «dontdisplaylastusername»=0
    «legalnoticecaption»=
    «legalnoticetext»=
    «shutdownwithoutlogon»=1
    «undockwithoutlogon»=1

    [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
    «NoDriveTypeAutoRun»=145

    [HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
    «%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
    «C:Program FilesICQ6ICQ.exe»=»C:Program FilesICQ6ICQ.exe:*:Enabled:ICQ6»
    «C:WINDOWSsystem32Ati2evxx.exe»=»C:WINDOWSsystem32Ati2evxx.exe:*:Enabled:ENABLE»

    [HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
    «%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

    ======List of files/folders created in the last 1 months======

    2009-01-06 22:10:01 —-D—- C:_OTMoveIt
    2009-01-05 17:16:19 —-D—- C:Program Filestrend micro
    2009-01-05 17:16:17 —-D—- C:rsit
    2009-01-04 23:31:35 —-A—- C:WINDOWSsystem32search_fid.txt

    ======List of files/folders modified in the last 1 months======

    2009-01-06 22:12:15 —-A—- C:WINDOWSModemLog_TOSHIBA Software Modem.txt
    2009-01-06 22:09:41 —-D—- C:WINDOWSPrefetch
    2009-01-06 21:44:20 —-D—- C:WINDOWSTemp
    2009-01-06 21:39:33 —-D—- C:WINDOWSsystem32
    2009-01-06 17:23:55 —-A—- C:WINDOWSSchedLgU.Txt
    2009-01-06 17:14:50 —-A—- C:WINDOWSIE4 Error Log.txt
    2009-01-06 14:58:31 —-D—- C:WINDOWSHelp
    2009-01-06 01:01:45 —-A—- C:WINDOWSsystem.ini
    2009-01-06 00:41:20 —-D—- C:WINDOWSsystem32CatRoot2
    2009-01-05 22:47:50 —-D—- C:WINDOWSsystem32drivers
    2009-01-05 17:16:19 —-RD—- C:Program Files
    2009-01-04 23:24:26 —-D—- C:Program FilesESET
    2009-01-04 23:23:08 —-D—- C:Program FilesICQToolbar
    2009-01-01 01:09:58 —-D—- C:Documents and SettingsДашаApplication DataICQ Toolbar
    2008-12-29 18:43:54 —-A—- C:WINDOWSNeroDigital.ini

    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R1 cdrbsdrv;cdrbsdrv; C:WINDOWSsystem32driverscdrbsdrv.sys [2004-03-08 13567]
    R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2004-08-17 40448]
    R1 meiudf;meiudf; C:WINDOWSSystem32Driversmeiudf.sys [2005-06-02 102384]
    R1 nod32drv;nod32drv; C:WINDOWSsystem32driversnod32drv.sys [2007-10-14 15424]
    R1 TPwSav;Common Driver; C:WINDOWSSystem32DriversTPwSav.sys [2005-06-03 9600]
    R1 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2003-07-07 12032]
    R2 AMON;AMON; C:WINDOWSsystem32driversamon.sys [2007-10-14 512096]
    R2 Netdevio;TOSHIBA Network Device Usermode I/O Protocol; C:WINDOWSsystem32DRIVERSnetdevio.sys [2003-01-30 12032]
    R3 AgereSoftModem;TOSHIBA V92 Software Modem; C:WINDOWSsystem32DRIVERSAGRSM.sys [2005-03-05 1066278]
    R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:WINDOWSsystem32driversALCXWDM.SYS [2005-06-21 2324480]
    R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2005-08-04 1273344]
    R3 CmBatt;Драйвер батареи с ACPI-управлением (Майкрософт); C:WINDOWSsystem32DRIVERSCmBatt.sys [2004-08-04 14080]
    R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2003-07-07 9600]
    R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2006-10-16 12160]
    R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:WINDOWSsystem32DRIVERSRtlnicxp.sys [2005-03-04 74496]
    R3 sdbus;sdbus; C:WINDOWSsystem32DRIVERSsdbus.sys [2004-08-04 67584]
    R3 tifm21;tifm21; C:WINDOWSsystem32driverstifm21.sys [2005-06-23 162176]
    R3 tosrfec;Bluetooth ACPI from TOSHIBA; C:WINDOWSsystem32DRIVERStosrfec.sys [2005-03-24 8192]
    R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2006-09-11 30208]
    R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2006-09-01 59264]
    R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2006-09-11 20608]
    R3 w29n51;Драйвер сетевого адаптера Intel(R) PRO/Wireless 2200BG для Windows XP; C:WINDOWSsystem32DRIVERSw29n51.sys [2005-05-01 3281408]
    S3 ap4ymcdl;ap4ymcdl; C:WINDOWSsystem32driversap4ymcdl.sys []
    S3 Arp1394;Протокол клиента 1394 ARP; C:WINDOWSsystem32DRIVERSarp1394.sys [2006-10-16 60800]
    S3 CCDECODE;Closed Caption декодер; C:WINDOWSsystem32DRIVERSCCDECODE.sys [2004-08-03 17024]
    S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:WINDOWSsystem32driversMSTEE.sys [2004-08-03 5504]
    S3 NABTSFEC;NABTS/FEC VBI кодек; C:WINDOWSsystem32DRIVERSNABTSFEC.sys [2004-08-03 85376]
    S3 NdisIP;Microsoft видео или ТВ подключение; C:WINDOWSsystem32DRIVERSNdisIP.sys [2004-08-03 10880]
    S3 NIC1394;Сетевой драйвер 1394; C:WINDOWSsystem32DRIVERSnic1394.sys [2006-10-16 61824]
    S3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet адаптер, драйвер для NT; C:WINDOWSsystem32DRIVERSRTL8139.SYS [2004-08-04 20992]
    S3 sffdisk;Драйвер класса SFF Storage; C:WINDOWSsystem32DRIVERSsffdisk.sys [2004-08-03 11136]
    S3 sffp_sd;Драйвер протокола SFF Storage для SDBus; C:WINDOWSsystem32DRIVERSsffp_sd.sys [2004-08-03 10240]
    S3 SLIP;BDA Slip De-Framer; C:WINDOWSsystem32DRIVERSSLIP.sys [2004-08-03 11136]
    S3 sonypvs1;Sony Digital Imaging Video2; C:WINDOWSsystem32DRIVERSsonypvs1.sys [2002-10-15 102220]
    S3 streamip;BDA IPSink; C:WINDOWSsystem32DRIVERSStreamIP.sys [2004-08-03 15360]
    S3 Tosrfbd;Bluetooth RFBUS from TOSHIBA; C:WINDOWSSystem32Driverstosrfbd.sys [2005-03-08 98560]
    S3 Tosrfhid;Bluetooth RFHID from TOSHIBA; C:WINDOWSsystem32DRIVERSTosrfhid.sys [2004-11-15 50048]
    S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA; C:WINDOWSsystem32driversTosRfSnd.sys [2004-12-15 50048]
    S3 Tosrfusb;Bluetooth USB Controller; C:WINDOWSSystem32Driverstosrfusb.sys [2004-12-21 34816]
    S3 usbaudio;Аудио драйвер USB (WDM); C:WINDOWSsystem32driversusbaudio.sys [2006-06-23 59392]
    S3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2005-06-16 31744]
    S3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]
    S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-12-28 26368]
    S3 WSTCODEC;World Standard Teletext кодек; C:WINDOWSsystem32DRIVERSWSTCODEC.SYS [2004-08-03 19328]

    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

    R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2005-08-04 380928]
    R2 CFSvcs;ConfigFree Service; C:Program FilesTOSHIBAConfigFreeCFSvcs.exe [2005-01-18 40960]
    R2 DVD-RAM_Service;DVD-RAM_Service; C:WINDOWSsystem32DVDRAMSV.exe [2004-08-28 110592]
    R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-19 322120]
    R2 NOD32krn;NOD32 Kernel Service; C:Program FilesEsetnod32krn.exe [2007-10-14 552064]
    S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]

    EOF

    7 января, 2009 в 4:07 пп #20826
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
    После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

    7 января, 2009 в 8:22 пп #20827
    Laura
    Participant
    • Темы:3
    • Сообщений:13
    • ☆

    После первого запуска программы пропали часики загрузки и перестали появляться файлы Даша.ехе, но появляются какие-то другие файлы и компьютер всё также пытается отправить какой-то несуществующий файл. Запускала программу три раза — всё без изменений.

    ComboFix 09-01-07.01 — Даша 2009-01-07 23:05:25.3 — NTFSx86
    Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.510.241 [GMT 3:00]
    Running from: c:documents and settingsДашаРабочий столComboFix.exe
    AV: Антивирусная система Eset NOD32 2.70 *On-access scanning disabled* (Outdated)
    * Resident AV is active

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((( Files Created from 2008-12-07 to 2009-01-07 )))))))))))))))))))))))))))))))
    .

    2009-01-06 22:10 . 2009-01-06 22:10

    d

    C:_OTMoveIt
    2009-01-05 17:16 . 2009-01-05 17:31     d

    C:rsit
    2009-01-05 17:16 . 2009-01-06 22:12     d

    c:program filestrend micro

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-01-06 19:20

    d—h—w c:program filesInstallShield Installation Information
    2009-01-04 20:24

    d

    w c:program filesESET
    2009-01-04 20:23

    d

    w c:program filesICQToolbar
    2008-12-31 22:09

    d

    w c:documents and settingsДашаApplication DataICQ Toolbar
    2008-12-05 13:08 98,304 —-a-w c:windowssystem32CmdLineExt.dll
    2008-12-05 13:08

    d—h—r c:documents and settingsДашаApplication DataSecuROM
    2008-12-05 13:04

    d

    w c:program filesTEXTware
    2008-12-05 13:04

    d

    w c:program filesIDM
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
    «DAEMON Tools Lite»=»c:program filesDAEMON Tools Litedaemon.exe» [2007-12-14 482760]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    «HWSetup»=»c:program filesTOSHIBATOSHIBA AppletHWSetup.exe» [2004-05-01 28672]
    «nod32kui»=»c:program filesEsetnod32kui.exe» [2007-10-14 949376]
    «NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
    «AGRSMMSG»=»AGRSMMSG.exe» [2004-12-22 c:windowsagrsmmsg.exe]
    «TFncKy»=»TFncKy.exe» [BU]
    «CFSServ.exe»=»CFSServ.exe» [BU]

    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]

    c:documents and settingsAll Usersѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
    Bluetooth Monitor.lnk — c:program filesTOSHIBABluetooth MonitorBtMon2.exe [2007-10-04 65536]
    Picture Package Menu.lnk — d:„а ©ўґа Picture Package MenuSonyTray.exe [2007-10-15 151552]
    Picture Package VCD Maker.lnk — d:„а ©ўґа Picture Package ApplicationsResidence.exe [2007-10-15 106496]
    RAMASST.lnk — c:windowssystem32RAMASST.exe [2007-10-04 155648]

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
    «AntiVirusDisableNotify»=dword:00000001
    «UpdatesDisableNotify»=dword:00000001
    «AntiVirusOverride»=dword:00000001

    [HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
    «EnableFirewall»= 0 (0x0)

    [HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
    «%windir%\system32\sessmgr.exe»=
    «c:\Program Files\ICQ6\ICQ.exe»=
    «c:\WINDOWS\system32\Ati2evxx.exe»=

    R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [2007-10-14 15424]
    .
    .

    Supplementary Scan

    .
    uStart Page = hxxp://www.google.com.ua/
    IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
    LSP: c:windowssystem32imon.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-01-07 23:06:38
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes …

    scanning hidden autostart entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .

    LOCKED REGISTRY KEYS


    [HKEY_USERSS-1-5-21-1482476501-1659004503-725345543-1003SoftwareMicrosoftActiveMoviedevenum{33D9A761-90C8-11D0-BD43-00A0C911CE86}3*NULL*4*NULL*D*NULL*S*NULL*P*NULL* *NULL*G*NULL*r*NULL*o*NULL*u*NULL*p*NULL* *NULL*T*NULL*r*NULL*u*NULL*e*NULL*S*NULL*p*NULL*e*NULL*e*NULL*c*NULL*h*NULL*»!]
    «FriendlyName»=»DSP Group TrueSpeech™»
    «CLSID»=»{6A08CF80-0E18-11CF-A24D-0020AFD79767}»
    «FilterData»=hex:02,00,00,00,00,00,20,00,02,00,00,00,00,00,00,00,30,70,69,33,
    00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,30,74,79,33,00,
    00,00,00,60,00,00,00,70,00,00,00,31,70,69,33,08,00,00,00,00,00,00,00,01,00,
    00,00,00,00,00,00,00,00,00,00,30,74,79,33,00,00,00,00,60,00,00,00,80,00,00,
    00,61,75,64,73,00,00,10,00,80,00,00,aa,00,38,9b,71,00,00,00,00,00,00,00,00,
    00,00,00,00,00,00,00,00,22,00,00,00,00,00,10,00,80,00,00,aa,00,38,9b,71
    «AcmId»=dword:00000022

    [HKEY_USERSS-1-5-21-1482476501-1659004503-725345543-1003SoftwareMicrosoftSystemCertificatesAddressBook*NULL*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)

    [HKEY_LOCAL_MACHINESystemControlSet001ControlMediaPropertiesPrivatePropertiesMidiPortsY%QNIQBN *NULL*OEEM@GM@^EMH *NULL* *NULL*M*NULL*I*NULL*D*NULL*I*NULL* *NULL* *NULL*[*NULL*- «DMPortGUID»=hex:ad,01,89,f6,b2,fc,63,4e,8e,fa,ec,6e,c0,d5,66,ff
    .

    DLLs Loaded Under Running Processes


    — — — — — — — > ‘winlogon.exe'(716)
    c:windowssystem32SHSVCS.dll
    c:windowssystem32Ati2evxx.dll

    — — — — — — — > ‘lsass.exe'(772)
    c:windowssystem32imon.dll
    c:program filesEsetpr_imon.dll
    .
    Completion time: 2009-01-07 23:07:40
    ComboFix-quarantined-files.txt 2009-01-07 20:07:22
    ComboFix2.txt 2009-01-07 19:41:53
    ComboFix3.txt 2009-01-07 18:54:15

    Pre-Run: 215 834 624 байт свободно
    Post-Run: 208,211,968 байт свободно

    107 — E O F — 2007-12-30 19:03:30

    7 января, 2009 в 10:30 пп #20828
    Laura
    Participant
    • Темы:3
    • Сообщений:13
    • ☆

    NOD 32 вируса уже не видит, но он есть и размножается.
    Вирус создал файл с параметрами конфигурации под именем Layout в папке Prefetch.

    [OptimalLayoutFile]
    Version=1
    C:WINDOWSsystem32ntoskrnl.exe
    C:WINDOWSsystem32BOOTVID.dll
    C:WINDOWSsystem32KDCOM.dll
    C:WINDOWSsystem32hal.dll
    C:WINDOWSsystem32configsystem
    C:WINDOWSsystem32configsoftware
    C:WINDOWSSystem32c_1251.nls
    C:WINDOWSSystem32c_866.nls
    C:WINDOWSSystem32l_intl.nls
    C:WINDOWSFontsvga866.fon
    C:WINDOWSsystem32driversACPI.sys
    C:WINDOWSsystem32driversWMILIB.SYS
    C:WINDOWSsystem32driversACPIEC.sys
    C:WINDOWSsystem32driversOPRGHDLR.SYS
    C:WINDOWSsystem32driversatapi.sys
    C:WINDOWSsystem32driverscompbatt.sys
    C:WINDOWSsystem32driversBATTC.SYS
    C:WINDOWSsystem32driversdisk.sys
    C:WINDOWSsystem32driversCLASSPNP.SYS
    C:WINDOWSsystem32driversdmio.sys
    C:WINDOWSsystem32driversdmload.sys
    C:WINDOWSsystem32driversfltMgr.sys
    C:WINDOWSsystem32driversftdisk.sys
    C:WINDOWSsystem32driversintelide.sys
    C:WINDOWSsystem32driversPCIIDEX.SYS
    C:WINDOWSsystem32driversisapnp.sys
    C:WINDOWSsystem32driversKSecDD.sys
    C:WINDOWSsystem32driversmeiudf.sys
    C:WINDOWSsystem32driversMountMgr.sys
    C:WINDOWSsystem32driversmrxdav.sys
    C:WINDOWSsystem32driversTDI.SYS
    C:WINDOWSsystem32driversNDIS.SYS
    C:WINDOWSsystem32driversmrxsmb.sys
    C:WINDOWSsystem32driversrdbss.sys
    C:WINDOWSsystem32driversMsfs.sys
    C:WINDOWSsystem32driversMup.sys
    C:WINDOWSsystem32driversnetbios.sys
    C:WINDOWSsystem32driversNpfs.sys
    C:WINDOWSsystem32driversNtfs.sys
    C:WINDOWSsystem32driversohci1394.sys
    C:WINDOWSsystem32drivers1394BUS.SYS
    C:WINDOWSsystem32driversPartMgr.sys
    C:WINDOWSsystem32driverspci.sys
    C:WINDOWSsystem32driverspciide.sys
    C:WINDOWSsystem32driverspcmcia.sys
    C:WINDOWSsystem32driverssfdrv01.sys
    C:WINDOWSsystem32driverssfhlp02.sys
    C:WINDOWSsystem32driverssfsync02.sys
    C:WINDOWSsystem32driverssptd.sys
    C:WINDOWSsystem32driverssr.sys
    C:WINDOWSsystem32driverssrv.sys
    C:WINDOWSsystem32driversUdfs.sys
    C:WINDOWSsystem32driversVolSnap.sys
    C:
    C:PROGRAM FILES
    C:PROGRAM FILESESET
    C:WINDOWS
    C:WINDOWSSYSTEM32
    C:WINDOWSWINSXS
    C:WINDOWSWINSXSX86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03
    C:WINDOWSSYSTEM32NTDLL.DLL
    C:WINDOWSSYSTEM32KERNEL32.DLL
    C:WINDOWSSYSTEM32UNICODE.NLS
    C:WINDOWSSYSTEM32LOCALE.NLS
    C:WINDOWSSYSTEM32SORTTBLS.NLS
    C:PROGRAM FILESESETNOD32.EXE
    C:WINDOWSSYSTEM32MPR.DLL
    C:WINDOWSSYSTEM32ADVAPI32.DLL
    C:WINDOWSSYSTEM32RPCRT4.DLL
    C:WINDOWSSYSTEM32USER32.DLL
    C:WINDOWSSYSTEM32GDI32.DLL
    C:WINDOWSSYSTEM32MFC42U.DLL
    C:WINDOWSSYSTEM32MSVCRT.DLL
    C:WINDOWSSYSTEM32SHELL32.DLL
    C:WINDOWSSYSTEM32SHLWAPI.DLL
    C:WINDOWSWINSXSX86_MICROSOFT.WINDOWS.COMMON-CONTROLS_6595B64144CCF1DF_6.0.2600.2982_X-WW_AC3F9C03COMCTL32.DLL
    C:WINDOWSSYSTEM32CTYPE.NLS
    C:$MFT
    C:WINDOWSSYSTEM32MFC42LOC.DLL
    C:WINDOWSWINDOWSSHELL.MANIFEST
    C:PROGRAM FILESESETNOD32R.DLL
    C:WINDOWSSYSTEM32MAPI32.DLL
    C:WINDOWSSYSTEM32SORTKEY.NLS
    C:PROGRAM FILESESETNOD32.000
    C:PROGRAM FILESESETNOD32.002
    C:PROGRAM FILESESETNOD32.003
    C:PROGRAM FILESESETNOD32.006
    C:WINDOWSSYSTEM32MSCTF.DLL
    C:WINDOWSSYSTEM32IMM32.DLL
    C:WINDOWSSYSTEM32UXTHEME.DLL

    Что мне делать? Помогите!!!

    9 января, 2009 в 1:57 пп #20829
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Кто вам сказал что этот файл создал вирус ?
    Это вполне легальный файл операционной системы.

    10 января, 2009 в 12:03 пп #20830
    Laura
    Participant
    • Темы:3
    • Сообщений:13
    • ☆

    Тогда огромное спасибо за помощь!!! Вы лучшие!!!

    10 января, 2009 в 3:11 пп #20831
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Несколько завершающих действий.

    Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

    Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

    Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
    Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

    Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

    Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

    Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

    После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

    Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

    Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

    Всего доброго!

  • Автор
    Сообщения
Просмотр 9 сообщений - с 1 по 9 (из 9 всего)
  • Для ответа в этой теме необходимо авторизоваться.
Войти

Добро пожаловать

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.

Поиск

Последние темы

  • Странность в Malwebytes опубликовано Artem225
    5 years, 8 months назад
  • SUSPICIOUS.FakedMBR.1 что делать, помогите!!! опубликовано White
    5 years, 9 months назад
  • Помогите пожалуйста вирус замучил. опубликовано dimazons1233211
    5 years, 11 months назад
  • Замучила реклама опубликовано Данила Беспятов
    5 years, 12 months назад
  • Замучила реклама опубликовано Марк
    5 years, 9 months назад
  • Вирус S1.video.ru.net опубликовано ludovik
    6 years, 2 months назад
  • Чертов Safe Finder!!!! опубликовано kosta savo
    5 years, 11 months назад
  • ESET блокирует неизвестный сайт , вход на который не осуществлялся. опубликовано trollhamaren
    6 years, 3 months назад

СПАЙВАРЕ РУ

  • О Спайваре Ру
  • Контакты
  • Реклама на сайте
  • Политика конфиденциальности
  • Правила использования

Нужна помощь?

Задайте свой вопрос прямо сейчас кликнув по следующей ссылке Задать вопрос.

Или обратитесь на наш форум, где команда Spyware-ru поможет вам. Узнайте, как попросить о помощи здесь.

Ссылки

  • Инструкции
  • Скачать программы
  • Помощь в удалении вирусов
  • Как вылечить компьютер
Copyright © 2008 - 2024 Spyware-RU.com (en)