Трояны

This topic has 1 ответ, 2 участника, and was last updated 15 years, 10 months назад by Admin.

Просмотр 2 сообщений - с 1 по 2 (из 2 всего)

Автор

Сообщения
13 декабря, 2009 в 12:35 пп #17577
Garik
Participant
- Темы:1
- Сообщений:1
Здравствуйте. На нашем компе около 10 пользователей, нахватали троянов, которые не удаляются и не лечатся касперским, в колхозе концов не найти, пробовал найти комбофикс, не получается скачать, наверное глюки у компа, пожалуйста помогите, заранее спасибо.
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Admin at 2009-12-13 15:32:08
Microsoft Windows XP Professional Service Pack 3
System drive C: has 15 GB (40%) free of 37 GB
Total RAM: 895 MB (42% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:08, on 13.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesABBYY Lingvo x3 MobileNetworkLicenseServer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesHPToolBoxFXbinHPTLBXFX.exe
C:Program FilesABBYY Lingvo 12Lvagent.exe
C:Program FilesMail.RuAgentMAgent.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingsAdminРабочий столRSIT.exe
C:Program Filestrend microAdmin.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = mail.ru
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://mail.ru
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.sminstall.com/rus/uninstall.html
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Windows Internet Explorer предоставлен: Mail.Ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — C:Program FilesMail.RuAgentMradllnewmrasearch.dll
F2 — REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 — BHO: AcroIEHelperStub — {18DF081C-E8AD-4283-A596-FA578C2EBDC3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 — BHO: LiveTV_ Toolbar — {59385f95-c52f-4a84-b674-4a4206b17218} — C:Program FilesLiveTV_tbLiv1.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: (no name) — {88888888-8888-8888-8888-888888888888} — (no file)
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: LiveTV_ Toolbar — {59385f95-c52f-4a84-b674-4a4206b17218} — C:Program FilesLiveTV_tbLiv1.dll
O4 — HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 — HKLM..Run: [ToolBoxFX] «C:Program FilesHPToolBoxFXbinHPTLBXFX.exe» /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 — HKLM..Run: [Lingvo Launcher] «C:Program FilesABBYY Lingvo 12Lvagent.exe» /STARTUP
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «C:Program FilesAdobeReader 9.0ReaderReader_sl.exe»
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe»
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0SCIEPlgn.dll
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: (no name) — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — (no file)
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~1Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — D:ICQ6.5ICQ.exe
O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — D:ICQ6.5ICQ.exe
O9 — Extra button: PokerStars.net — {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} — C:Program FilesPokerStars.NETPokerStarsUpdate.exe
O10 — Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O10 — Unknown file in Winsock LSP: c:documents and settingsadmincookiesuserlib.dll
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) — http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 — DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} — http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 — HKLMSystemCCSServicesTcpip..{7ED1BD00-5B85-4C3F-A53D-9D4D0355EE16}: NameServer = 87.251.147.23,87.251.152.99
O23 — Service: Сервис лицензирования ABBYY Lingvo x3 Mobile (ABBYY.Licensing.Lingvo.Mobile.14.0) — ABBYY Software Ltd — C:Program FilesABBYY Lingvo x3 MobileNetworkLicenseServer.exe
O23 — Service: Kaspersky Anti-Virus 7.0 (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 11122 bytes

======Scheduled tasks folder======

C:WINDOWStasksOGALogon.job
C:WINDOWStasksSysteCheck.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{59385f95-c52f-4a84-b674-4a4206b17218}]
LiveTV_ Toolbar — C:Program FilesLiveTV_tbLiv1.dll [2009-11-23 2166296]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper — C:Program FilesJavajre6binssv.dll [2009-05-05 320920]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-05-05 34816]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll [2009-05-05 73728]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{59385f95-c52f-4a84-b674-4a4206b17218} — LiveTV_ Toolbar — C:Program FilesLiveTV_tbLiv1.dll [2009-11-23 2166296]
Locked

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«HP Software Update»=C:Program FilesHPHP Software UpdateHPWuSchd2.exe [2007-03-11 49152]
«ToolBoxFX»=C:Program FilesHPToolBoxFXbinHPTLBXFX.exe [2006-06-15 49152]
«Lingvo Launcher»=C:Program FilesABBYY Lingvo 12Lvagent.exe [2007-03-24 194080]
«Adobe Reader Speed Launcher»=C:Program FilesAdobeReader 9.0ReaderReader_sl.exe [2009-02-27 35696]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-11-24 7975608]
«AVP»=C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe [2007-06-28 218376]
«RTHDCPL»=C:WINDOWSRTHDCPL.EXE [2009-11-17 18789408]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«uTorrent»=C:Program FilesuTorrentuTorrent.exe [2009-12-11 289584]
«Download Master»=C:Program FilesDownload Masterdmaster.exe -autorun []
«ctfmon.exe»=C:WINDOWSsystem32ctfmon.exe [2008-12-25 30208]
«Driver Updater»= []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon]
C:WINDOWSsystem32klogon.dll [2007-06-28 206088]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyWgaLogon]
C:WINDOWSsystem32WgaLogon.dll [2009-03-10 265096]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll [2008-03-02 133632]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworknm.sys]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWdf01000.sys]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:Program FilesuTorrentuTorrent.exe»=»C:Program FilesuTorrentuTorrent.exe:*:Enabled:µTorrent»
«D:ЕгорSacred Underworldgameserver.exe»=»D:ЕгорSacred Underworldgameserver.exe:*:Enabled:Sacred Gameserver»
«D:ICQ6.5ICQ.exe»=»D:ICQ6.5ICQ.exe:*:Enabled:ICQ6»
«C:Program FilesSkypePlugin ManagerskypePM.exe»=»C:Program FilesSkypePlugin ManagerskypePM.exe:*:Enabled:Skype Extras Manager»
«C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe»=»C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe:*:Enabled:Kaspersky Anti-Virus»
«C:WINDOWSsystem32mmc.exe»=»C:WINDOWSsystem32mmc.exe:*:Enabled:Консоль управления (MMC)»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b420d450-7dd5-11de-888b-001e8c11364b}]
shellAutoRuncommand — yctfag.exe
shellexplorecommand — yctfag.exe
shellopencommand — yctfag.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b603a4aa-4097-11de-87d0-001e8c11364b}]
shellAutoRuncommand — RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ipse32.exe
shellopencommand — RECYCLERS-1-5-21-1482476501-1644491937-682003330-1013ipse32.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fadc1047-8215-11de-88fb-001e8c11364b}]
shellAutoRuncommand — J:
shellexplorecommand — WScript.exe .autorun.vbs
shellopencommand — WScript.exe .autorun.vbs

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fadc104d-8215-11de-88fb-001e8c11364b}]
shellAutoRuncommand — G:
shellexplorecommand — WScript.exe .autorun.vbs
shellopencommand — WScript.exe .autorun.vbs

======File associations======

.js — edit —
.js — open —

======List of files/folders created in the last 1 months======

2009-12-13 15:12:10 —-D—- C:Program Filestrend micro
2009-12-13 15:12:09 —-D—- C:rsit
2009-12-13 10:54:59 —-D—- C:ProgramData
2009-12-13 10:54:59 —-D—- C:Program FilesCommon FilesDoctor Web
2009-12-13 06:18:44 —-HDC—- C:WINDOWS$NtUninstallKB970430$
2009-12-13 06:18:36 —-HDC—- C:WINDOWS$NtUninstallKB974318$
2009-12-13 06:18:27 —-HDC—- C:WINDOWS$NtUninstallKB973687$
2009-12-13 06:18:19 —-HDC—- C:WINDOWS$NtUninstallKB973904$
2009-12-13 06:18:10 —-HDC—- C:WINDOWS$NtUninstallKB974392$
2009-12-13 06:17:59 —-HDC—- C:WINDOWS$NtUninstallKB971737$
2009-12-13 06:16:17 —-D—- C:Program FilesMSXML 4.0
2009-12-13 06:03:42 —-HDC—- C:WINDOWS$NtUninstallKB976098-v2$
2009-12-12 23:04:04 —-A—- C:WINDOWSvncutil.exe
2009-12-12 23:03:59 —-A—- C:WINDOWSsystem32RtkCoInstXP.dll
2009-12-12 23:03:59 —-A—- C:WINDOWSRtkAudioService.exe
2009-12-12 23:03:56 —-D—- C:Program FilesRealtek
2009-12-12 23:03:48 —-A—- C:WINDOWSRtlExUpd.dll
2009-11-27 16:37:31 —-D—- C:Program FilesKaspersky Lab
2009-11-27 16:37:30 —-D—- C:Documents and SettingsAll UsersApplication DataKaspersky Lab
2009-11-25 16:46:46 —-A—- C:WINDOWSIE4 Error Log.txt
2009-11-25 16:43:52 —-RA—- C:WINDOWSsystem32tmp26.tmp
2009-11-25 02:36:18 —-D—- C:Program FilesPokerStars.NET
2009-11-25 02:35:22 —-A—- C:Program FilesPokerStarsInstallPM.exe
2009-11-15 20:21:28 —-D—- C:Program FilesPC Connectivity Solution
2009-11-15 19:59:38 —-D—- C:Documents and SettingsAll UsersApplication DataKaspersky Lab Setup Files
2009-11-15 01:28:42 —-D—- C:Program FilesABBYY Lingvo x3 Mobile
2009-11-15 00:07:00 —-D—- C:WINDOWSsystem32LogFiles
2009-11-15 00:06:49 —-HDC—- C:WINDOWS$NtUninstallWudf01007$
2009-11-15 00:06:08 —-N—- C:WINDOWSsystem32spmsgXP_2k3.dll
2009-11-15 00:06:02 —-HDC—- C:WINDOWS$NtUninstallWdf01007$
2009-11-15 00:04:49 —-D—- C:Documents and SettingsAdminApplication DataNokia
2009-11-15 00:01:14 —-D—- C:Program FilesDIFX
2009-11-15 00:00:23 —-D—- C:Program FilesNokia

======List of files/folders modified in the last 1 months======

2009-12-13 15:31:48 —-A—- C:WINDOWSsystem32akelpad.ini
2009-12-13 15:30:27 —-D—- C:WINDOWSsystem32drivers
2009-12-13 15:12:10 —-AD—- C:Program Files
2009-12-13 13:55:11 —-D—- C:WINDOWSNetwork Diagnostic
2009-12-13 13:30:06 —-D—- C:WINDOWSTemp
2009-12-13 13:17:56 —-AD—- C:WINDOWSsystem32
2009-12-13 13:17:56 —-AC—- C:WINDOWSsystem32PerfStringBackup.INI
2009-12-13 13:12:23 —-D—- C:Documents and SettingsAdminApplication DatauTorrent
2009-12-13 13:03:48 —-D—- C:WINDOWSsystem32CatRoot2
2009-12-13 13:02:24 —-D—- C:WINDOWS
2009-12-13 11:42:47 —-A—- C:WINDOWSSchedLgU.Txt
2009-12-13 11:14:46 —-HD—- C:Config.Msi
2009-12-13 11:14:40 —-SHD—- C:WINDOWSInstaller
2009-12-13 10:54:59 —-AD—- C:Program FilesCommon Files
2009-12-13 06:18:48 —-HD—- C:WINDOWSinf
2009-12-13 06:18:47 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-12-13 06:18:42 —-HD—- C:WINDOWS$hf_mig$
2009-12-13 06:18:40 —-A—- C:WINDOWSimsins.BAK
2009-12-13 06:16:17 —-D—- C:WINDOWSWinSxS
2009-12-13 06:14:23 —-A—- C:WINDOWSsystem32HPPDEVX.DLL.log
2009-12-13 06:03:23 —-D—- C:Program FilesInternet Explorer
2009-12-13 06:02:41 —-D—- C:Documents and SettingsAll UsersApplication DataMicrosoft Help
2009-12-12 23:04:42 —-D—- C:WINDOWSsystem32RTCOM
2009-12-12 23:03:55 —-HD—- C:Program FilesInstallShield Installation Information
2009-12-12 23:03:41 —-D—- C:Program FilesCommon FilesInstallShield
2009-12-12 21:36:47 —-D—- C:WINDOWSsystem32NtmsData
2009-12-12 21:36:32 —-D—- C:WINDOWSRegistration
2009-12-12 14:23:58 —-SD—- C:WINDOWSDownloaded Program Files
2009-12-10 13:36:01 —-D—- C:Documents and SettingsAdminApplication DataImage Zone Express
2009-12-07 14:29:09 —-SD—- C:WINDOWSTasks
2009-12-03 14:52:29 —-SD—- C:Documents and SettingsAdminApplication DataMicrosoft
2009-12-01 23:06:19 —-AC—- C:WINDOWSsystem32MRT.exe
2009-11-28 19:52:14 —-D—- C:Documents and SettingsAdminApplication DataMra
2009-11-27 15:56:10 —-D—- C:WINDOWSsystem32CatRoot
2009-11-25 17:25:09 —-D—- C:Program FilesGoogle
2009-11-25 16:46:18 —-AD—- C:Documents and SettingsAdminApplication DataYandex
2009-11-25 16:45:40 —-DC—- C:WINDOWSsystem32DRVSTORE
2009-11-25 16:40:29 —-D—- C:Program FilesDownload Master
2009-11-24 21:41:00 —-D—- C:Program FilesMail.Ru
2009-11-23 18:09:37 —-D—- C:Program FilesLiveTV_
2009-11-19 18:43:59 —-AC—- C:WINDOWShpfccopy.INI
2009-11-17 20:27:14 —-A—- C:WINDOWSSOUNDMAN.EXE
2009-11-17 20:27:14 —-A—- C:WINDOWSSkyTel.exe
2009-11-17 20:27:08 —-A—- C:WINDOWSRtlUpd.exe
2009-11-17 20:27:08 —-A—- C:WINDOWSRTLCPL.EXE
2009-11-17 20:27:02 —-A—- C:WINDOWSRTHDCPL.EXE
2009-11-17 20:26:56 —-A—- C:WINDOWSMicCal.exe
2009-11-17 20:26:50 —-A—- C:WINDOWSALCWZRD.EXE
2009-11-17 20:26:50 —-A—- C:WINDOWSALCMTR.EXE
2009-11-15 20:35:55 —-SHD—- C:System Volume Information
2009-11-15 20:20:19 —-D—- C:Documents and SettingsAll UsersApplication DataInstallations
2009-11-15 18:12:21 —-D—- C:Documents and SettingsAdminApplication DataskypePM
2009-11-15 18:09:50 —-D—- C:Documents and SettingsAll UsersApplication DataSkype
2009-11-15 00:07:09 —-SD—- C:Documents and SettingsAll UsersApplication DataMicrosoft
2009-11-15 00:06:43 —-D—- C:Documents and SettingsAdminApplication DataPC Suite
2009-11-15 00:06:34 —-D—- C:Documents and SettingsAll UsersApplication DataPC Suite

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Драйвер Intel процессора; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-15 40704]
R1 kbdhid;Драйвер клавиатуры HID; C:WINDOWSsystem32DRIVERSkbdhid.sys [2008-04-14 14720]
R1 klif;Klif; ??C:WINDOWSsystem32driversklif.sys []
R1 SiSkp;SiSkp; C:WINDOWSsystem32DRIVERSsrvkp.sys [2007-10-03 18944]
R1 Tcpip6;Драйвер протокола IPv6 (Microsoft); C:WINDOWSsystem32DRIVERStcpip6.sys [2008-12-25 225856]
R1 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2008-04-15 12032]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-совместимый транспортный протокол; C:WINDOWSsystem32DRIVERSnwlnkipx.sys [2008-04-15 88320]
R2 NwlnkNb;NWLink NetBIOS; C:WINDOWSsystem32DRIVERSnwlnknb.sys [2008-04-15 63232]
R2 NwlnkSpx;Протокол NWLink SPX/SPXII; C:WINDOWSsystem32DRIVERSnwlnkspx.sys [2008-04-15 55936]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-10-11 62848]
R3 HDAudBus;Драйвер шины Microsoft UAA для High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2008-04-15 144384]
R3 HidUsb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2008-04-13 10368]
R3 HPFXBULK;HPFXBULK; C:WINDOWSsystem32drivershpfxbulk.sys [2006-06-12 9344]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:WINDOWSsystem32driversRtkHDAud.sys [2009-11-17 5956608]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:WINDOWSsystem32DRIVERSklim5.sys [2007-04-04 24344]
R3 MTsensor;ATK0110 ACPI UTILITY; C:WINDOWSsystem32DRIVERSASACPI.sys [2006-02-26 5810]
R3 SiS315;SiS315; C:WINDOWSsystem32DRIVERSsisgrp.sys [2007-10-03 322560]
R3 SiSGbeXP;SiS191/SiS190 Ethernet Device NDIS 5.1 Driver; C:WINDOWSsystem32DRIVERSSiSGbeXP.sys [2008-03-03 43392]
R3 tunmp;Драйвер адаптера минипорта Microsoft Tun; C:WINDOWSsystem32DRIVERStunmp.sys [2008-12-25 12288]
R3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2008-04-13 32128]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-15 30208]
R3 usbhub;Драйвер стандартного концентратора USB (Microsoft); C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2008-04-15 17152]
R3 usbprint;Класс принтеров Microsoft USB; C:WINDOWSsystem32DRIVERSusbprint.sys [2008-04-13 25856]
R3 usbscan;Драйвер USB-сканера; C:WINDOWSsystem32DRIVERSusbscan.sys [2008-04-13 15104]
S1 ddkigeqt;ddkigeqt; C:WINDOWSsystem32driversddkigeqt.sys []
S1 gumknlyp;gumknlyp; C:WINDOWSsystem32driversgumknlyp.sys [2009-02-09 41984]
S3 Ambfilt;Ambfilt; C:WINDOWSsystem32driversAmbfilt.sys [2008-08-05 1684736]
S3 Monfilt;Monfilt; C:WINDOWSsystem32driversMonfilt.sys [2006-01-04 1389056]
S3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-10-19 12160]
S3 nm;Драйвер сетевого монитора; C:WINDOWSsystem32DRIVERSNMnt.sys [2008-04-15 40320]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:WINDOWSsystem32DRIVERSpccsmcfd.sys [2008-08-26 18816]
S3 upperdev;upperdev; C:WINDOWSsystem32DRIVERSusbser_lowerflt.sys []
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-13 26368]
S3 VBoxNetFlt;VBoxNetFlt Service; C:WINDOWSsystem32DRIVERSVBoxNetFlt.sys [2008-12-17 81360]
S3 Wdf01000;Kernel Mode Driver Frameworks service; C:WINDOWSSystem32Driverswdf01000.sys [2008-03-27 503008]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2008-01-18 83328]
S4 dwshd;dwshd; C:WINDOWSSystem32driversdwshd.sys []
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 6to4;Служба поддержки IPv6; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
R2 ABBYY.Licensing.Lingvo.Mobile.14.0;Сервис лицензирования ABBYY Lingvo x3 Mobile; C:Program FilesABBYY Lingvo x3 MobileNetworkLicenseServer.exe [2008-12-29 808224]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
S2 AVP;Kaspersky Anti-Virus 7.0; C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe [2007-06-28 218376]
S2 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2009-05-05 152984]
S3 aspnet_state;Служба состояний ASP.NET; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe [2009-05-05 654848]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:WINDOWSMicrosoft.NETFrameworkv3.0WPFPresentationFontCache.exe [2008-07-29 46104]
S3 hpqcxs08;hpqcxs08; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]
S3 idsvc;Windows CardSpace; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2008-07-29 881664]
S3 odserv;Microsoft Office Diagnostics Service; C:Program FilesCommon FilesMicrosoft SharedOFFICE12ODSERV.EXE [2008-11-04 441712]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
S3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2009-10-27 657408]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-18 913408]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2008-07-29 132096]

EOF
17 декабря, 2009 в 7:09 пп #27411
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

К компьютеру неоднократно подключали заражённые внешние диски (флешки).
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите
```
C:Program Filestrend microAdmin.exe
```
и нажмите Enter.
Откроется главное меню программы HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:
```
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
```
Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Скачайте LSPFix кликнув по этой ссылке и распакуйте на ваш рабочий стол.
Скачайте OTM by OldTimer кликнув по этой ссылке.

Запустите LSPFix.
Поставьте галочку напротив пункта «I know what i`m doing».
В окне KEEP выберите userlib.dll и нажмите кнопку «>>».
Кликните по кнопке «Finish>>».
Когда программа закончит работу будет показано сообщение.
Кликните OK.

Запустите OTM и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.
```
:services

ddkigeqt

gumknlyp

dwshd



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{88888888-8888-8888-8888-888888888888}]



[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

"Driver Updater"=-



[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b420d450-7dd5-11de-888b-001e8c11364b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b603a4aa-4097-11de-87d0-001e8c11364b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fadc1047-8215-11de-88fb-001e8c11364b}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{fadc104d-8215-11de-88fb-001e8c11364b}]



:files

C:WINDOWStasksSysteCheck.job

c:documents and settingsadmincookiesuserlib.dll



:Commands

[emptytemp]

[Reboot]
```
Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMMovedFiles.

Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог.
Автор

Сообщения

Просмотр 2 сообщений - с 1 по 2 (из 2 всего)

Для ответа в этой теме необходимо авторизоваться.

Трояны

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки