У меня проблема с удалением Autorun.inf

This topic has 11 ответов, 2 участника, and was last updated 16 years, 2 months назад by Alke.

Просмотр 12 сообщений - с 1 по 12 (из 12 всего)

Автор

Сообщения
5 мая, 2009 в 11:19 дп #16636
Alke
Participant
- Темы:2
- Сообщений:9
Доброго Вам время суток!
У меня проблема с удалением Autorun.inf
Программой «Anti-autorun» обнаружил вирус Autorun.inf на моей флешке. Программа «Anti-autorun» сообщила, что вирус удалила, но при повторном сканировании флешки вирус появлялся снова.

Просканировал систему программами:

Trend Micro RootkitBuster
KidoKiller
FixBlast
Сканер DrWeb
Сканер NOD32
SUPERAntiSpyware
Malwarebytes Anti-Malware

Антивирусы ничего не обнаружили.

По советам вашего сайта установил программу «Flash Guard». Программа постоянно сигнализировала, что удалила вирус Autorun.inf. Решил посмотреть вайловым менеджером «Far», что у меня происходит на флешке. Обнаружил, что программа «Flash Guard» вирус удаляет, но через несколько секунд он появляется снова. В безопасном режиме при включеном «Flash Guard» вирус я смог удалить, но при запуске Windows и включеном «Flash Guard» вирус появляется снова.
Пробовал в ручном режиме блокировать автозапуск — бесполезно.
Пробовал удалить вирус ComboFix — бесполезно.
Пробовал в безопасном режиме удалить вирус и прописать пустые файлы: Recycler, SYSTEM, autorun.inf — бесполезно. Вирус заменяет их своими файлами.

На флешке такая информация:

SYSTEM
autorun.inf

В SYSTEM прописано:
SYSTEM > FILES > ARMY.exe
Desktop.ini > [.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

В autorun.inf прописано:
[autorun]
open=SYSTEMFILESARMY.exe
;ЄУИЕММьПРЕОьДЕЖБХМФќ‘О†

;This is Mainly Used by Driver Utility Dont Remove This File.
action=Open folder to view files
shellopen=Open
shellopencommand=SYSTEMFILESARMY.exe
shellopendefault=1

С нетерпением жду ответа, что за дрянь у меня завелась? И конечно же совета.
Заранее благодарю!

Результаты тестирования log:

Logfile of random’s system information tool 1.06 (written by random/random)
Run by Костик at 2009-05-05 16:56:54
Microsoft Windows XP Professional Service Pack 3
System drive C: has 42 GB (81%) free of 52 GB
Total RAM: 2047 MB (74% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
FGCatchUrl — C:Program FilesFlashGet 1.9.4jccatch.dll [2007-08-06 94308]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9961627E-4059-41B4-8E0E-A7D6B3854ADF}]
IE 4.x-6.x BHO for Download Master — C:PROGRA~1DOWNLO~1.116dmiehlp.dll [2009-03-06 157696]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F156768E-81EF-470C-9057-481BA8380DBA}]
FlashGet GetFlash Class — C:Program FilesFlashGet 1.9.4getflash.dll [2007-05-18 163840]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«DrvIcon»=C:Program FilesVista Drive IconDrvIcon.exe [2007-07-05 45056]
«UnlockerAssistant»=C:Program FilesUnlockerUnlockerAssistant.exe [2008-05-02 15872]
«NeroFilterCheck»=C:Program FilesCommon FilesNeroLibNeroCheck.exe [2007-03-01 153136]
«NBKeyScan»=C:Program FilesNeroNero8Nero BackItUpNBKeyScan.exe [2007-09-20 1836328]
«SoundMAXPnP»=C:Program FilesAnalog DevicesCoresmax4pnp.exe [2006-12-18 868352]
«OutpostMonitor»=C:PROGRA~1AGNITU~1.250op_mon.exe [2008-12-25 1227080]
«OutpostFeedBack»=C:Program FilesAgnitum Outpost Firewall Pro 6.5.2509feedback.exe [2008-12-25 432968]
«egui»=C:Program FilesESETESET NOD32 Antivirusegui.exe [2007-11-14 1410304]
«Malwarebytes’ Anti-Malware»=C:Program FilesMalwarebytes Anti-Malware 1.36mbamgui.exe [2009-04-06 401040]
«FlashGuard»=C:Program FilesFlash Guard 1.0.0.5FlashGuard.exe [2008-02-07 1355776]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«AlfaClock Classic»=C:Program FilesAlfaClock Free EditionAlfaClock.exe [2005-07-13 405504]
«AlcoholAutomount»=C:Program FilesAlcohol 120% retail 1.9.7.6022axcmd.exe [2007-12-22 221568]
«DAEMON Tools Lite»=C:Program FilesDAEMON Tools 4.30.2 Litedaemon.exe [2008-12-10 216520]
«ctfmon.exe»=C:WINDOWSsystem32ctfmon.exe [2008-04-15 37376]

C:Documents and SettingsКостикГлавное менюПрограммыАвтозагрузка
Сократ Персональный 4.1.lnk — C:Program FilesСократ 4.1spv.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»c:progra~1agnitu~1.250wl_hook.dll»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2008-12-02 143360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2007-06-18 133632]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
«authentication packages»=msv1_0
relog_ap

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetwork{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=221

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«C:WINDOWSNetwork Diagnosticxpnetdiag.exe»=»C:WINDOWSNetwork Diagnosticxpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000»
«C:WINDOWSsystem32sessmgr.exe»=»C:WINDOWSsystem32sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019»
«C:Program FilesFlashGet 1.9.4flashget.exe»=»C:Program FilesFlashGet 1.9.4flashget.exe:*:Disabled:Flashget»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

======List of files/folders created in the last 1 months======

2009-05-05 16:56:54 —-D—- C:rsit
2009-05-05 16:56:54 —-D—- C:Program Filestrend micro
2009-05-05 14:29:00 —-A—- C:WINDOWSntbtlog.txt
2009-05-02 13:34:41 —-D—- C:Program FilesFlash Guard 1.0.0.5
2009-05-02 06:06:05 —-D—- C:Program FilesScreenshot Creator 2.0 — Видеозахват экрана
2009-05-02 05:58:04 —-RSHD—- C:SYSTEM
2009-05-02 05:44:39 —-D—- C:Documents and SettingsКостикApplication DataMalwarebytes
2009-05-02 05:44:33 —-D—- C:Program FilesMalwarebytes Anti-Malware 1.36
2009-05-02 05:44:33 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-04-27 23:31:31 —-HDC—- C:WINDOWS$NtUninstallKB959426$
2009-04-27 23:31:20 —-HDC—- C:WINDOWS$NtUninstallKB961373$
2009-04-27 23:26:13 —-HDC—- C:WINDOWS$NtUninstallKB960225$
2009-04-27 23:25:35 —-HDC—- C:WINDOWS$NtUninstallKB956572$
2009-04-27 23:24:34 —-HDC—- C:WINDOWS$NtUninstallKB952004$
2009-04-27 23:24:13 —-HDC—- C:WINDOWS$NtUninstallKB958690$
2009-04-27 23:23:41 —-A—- C:WINDOWSsystem32spupdsvc.exe
2009-04-27 23:23:24 —-HDC—- C:WINDOWS$NtUninstallKB959772_WM11$
2009-04-27 23:22:52 —-HDC—- C:WINDOWS$NtUninstallKB960803$
2009-04-27 22:44:04 —-RSHD—- C:BIN
2009-04-27 22:08:44 —-D—- C:Program FilesESET
2009-04-27 21:49:28 —-D—- C:WINDOWSsystem32Filt
2009-04-27 21:49:28 —-D—- C:Program FilesAgnitum Outpost Firewall Pro 6.5.2509
2009-04-27 21:49:02 —-D—- C:Documents and SettingsAll UsersApplication DataAgnitum
2009-04-27 21:35:26 —-D—- C:Program FilesDownload Master 5.5.10.1163
2009-04-27 21:22:53 —-D—- C:WINDOWSsystem32appmgmt

======List of files/folders modified in the last 1 months======

2009-05-05 16:56:54 —-RD—- C:Program Files
2009-05-05 16:56:38 —-D—- C:WINDOWSsystem32CatRoot2
2009-05-05 16:54:28 —-D—- C:WINDOWSTemp
2009-05-05 16:52:43 —-D—- C:WINDOWSsystem32drivers
2009-05-05 15:46:26 —-D—- C:WINDOWSsystem32config
2009-05-05 15:45:35 —-AD—- C:WINDOWSsystem32
2009-05-05 15:31:36 —-HD—- C:WINDOWSinf
2009-05-05 14:29:00 —-D—- C:WINDOWS
2009-05-05 14:27:42 —-A—- C:WINDOWSSchedLgU.Txt
2009-05-05 14:12:15 —-D—- C:WINDOWSPrefetch
2009-05-02 18:28:32 —-SD—- C:Documents and SettingsAll UsersApplication DataMicrosoft
2009-05-02 17:18:50 —-D—- C:Program FilesFlashGet 1.9.4
2009-05-02 16:59:48 —-D—- C:Documents and SettingsКостикApplication DataLavasoft
2009-05-02 16:20:21 —-SHD—- C:WINDOWSInstaller
2009-04-28 00:29:19 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-04-28 00:24:33 —-D—- C:WINDOWSsystem32wbem
2009-04-27 23:31:44 —-RSHDC—- C:WINDOWSsystem32dllcache
2009-04-27 23:31:29 —-HD—- C:WINDOWS$hf_mig$
2009-04-27 23:29:45 —-HD—- C:Program FilesInternet Explorer
2009-04-27 23:28:44 —-D—- C:WINDOWSsystem32ru-ru
2009-04-27 23:27:56 —-D—- C:WINDOWSie7updates
2009-04-27 21:49:51 —-D—- C:WINDOWSsystem32CatRoot
2009-04-27 21:49:46 —-HD—- C:Program FilesCommon FilesMicrosoft Shared
2009-04-27 21:49:45 —-D—- C:WINDOWSWinSxS

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;Драйвер AMD процессора; C:WINDOWSsystem32DRIVERSAmdK8.sys [2006-06-19 43520]
R1 easdrv;easdrv; C:WINDOWSsystem32DRIVERSeasdrv.sys [2007-11-14 27656]
R1 epfwtdir;epfwtdir; C:WINDOWSsystem32DRIVERSepfwtdir.sys [2007-11-14 30728]
R1 SandBox;SandBox; ??C:WINDOWSsystem32driversSandBox.sys []
R2 eamon;EAMON; C:WINDOWSsystem32DRIVERSeamon.sys [2007-11-14 33800]
R2 mdmxsdk;mdmxsdk; C:WINDOWSsystem32DRIVERSmdmxsdk.sys [2002-08-31 9855]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2008-07-09 62848]
R2 tifsfilter;Acronis True Image FS Filter; C:WINDOWSsystem32DRIVERStifsfilt.sys [2009-02-15 32768]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:WINDOWSsystem32driversADIHdAud.sys [2007-01-16 293888]
R3 AEAudio;AE Audio Service; C:WINDOWSsystem32driversAEAudio.sys [2006-08-07 93952]
R3 afw;Agnitum firewall driver; C:WINDOWSsystem32DRIVERSafw.sys [2008-06-20 30864]
R3 afwcore;afwcore; C:WINDOWSsystem32driversafwcore.sys [2008-12-17 257176]
R3 ASWFilt;ASWFilt; ??C:WINDOWSsystem32FiltASWFilt.dll []
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2008-12-02 3452928]
R3 HDAudBus;Драйвер шины Microsoft UAA для High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2005-12-26 138752]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2008-04-15 10368]
R3 MBAMProtector;MBAMProtector; ??C:WINDOWSsystem32driversmbam.sys []
R3 MODEMCSA;Устройство фильтрации потока Unimodem; C:WINDOWSsystem32driversMODEMCSA.sys [2008-08-23 16128]
R3 MTsensor;ATK0110 ACPI UTILITY; C:WINDOWSsystem32DRIVERSASACPI.sys [2006-02-26 5810]
R3 nvnetbus;NVIDIA Network Bus Enumerator; C:WINDOWSsystem32DRIVERSnvnetbus.sys [2006-07-11 20480]
R3 RTHDMIAzAudService;Service for HDMI; C:WINDOWSsystem32driversRtHDMI.sys [2008-07-18 3682240]
R3 SenFiltService;SenFilt Service; C:WINDOWSsystem32driversSenfilt.sys [2006-03-17 392960]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-08-23 30336]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-15 59520]
R3 usbohci;Драйвер минипорта Microsoft USB открытого хост-контроллера; C:WINDOWSsystem32DRIVERSusbohci.sys [2008-08-23 17152]
R3 Winachcf;Winachcf; C:WINDOWSsystem32DRIVERSwinachcf.sys [2002-08-31 917988]
S3 alzgxe44;alzgxe44; C:WINDOWSsystem32driversalzgxe44.sys []
S3 ar8gzt25;ar8gzt25; C:WINDOWSsystem32driversar8gzt25.sys []
S3 NVENETFD;NVIDIA nForce Networking Controller Driver; C:WINDOWSsystem32DRIVERSNVENETFD.sys [2006-07-11 57856]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-08-23 26368]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2007-06-18 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2007-06-18 82944]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AcrSch2Svc;Acronis Scheduler2 Service; C:Program FilesCommon FilesAcronisSchedule2schedul2.exe [2007-02-16 411168]
R2 acssrv;Agnitum Client Security Service; C:PROGRA~1AGNITU~1.250acs.exe [2008-12-25 1267016]
R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2008-12-02 598016]
R2 ekrn;Eset Service; C:Program FilesESETESET NOD32 Antivirusekrn.exe [2007-11-14 455936]
R2 MBAMService;MBAMService; C:Program FilesMalwarebytes Anti-Malware 1.36mbamservice.exe [2009-04-06 179856]
R2 Nero BackItUp Scheduler 3;Nero BackItUp Scheduler 3; C:Program FilesNeroNero8Nero BackItUpNBService.exe [2007-09-20 853288]
R2 StarWindServiceAE;StarWind AE Service; C:Program FilesAlcohol 120% retail 1.9.7.6022StarWindStarWindServiceAE.exe [2007-05-28 275968]
R2 UPHClean;User Profile Hive Cleanup; C:WINDOWSsystem32uphclean.exe [2006-01-16 241725]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2008-12-01 593920]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_state.exe [2004-07-15 32768]
S3 EhttpSrv;Eset HTTP Server; C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe [2007-11-14 18176]
S3 NMIndexingService;NMIndexingService; C:Program FilesCommon FilesNeroLibNMIndexingService.exe [2007-09-20 382248]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-19 913408]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2008-04-15 14336]

EOF

Результаты тестирования info:

info.txt logfile of random’s system information tool 1.06 2009-05-05 16:56:56

======Uninstall list======

—>C:Program FilesAlfaClock Free EditionUninstall.exe
—>C:Program FilesNeroNero8\nerouninstallUNNERO.exe /UNINSTALL
—>C:WINDOWSUNNeroBackItUp.exe /UNINSTALL
—>C:WINDOWSUNNeroMediaHome.exe /UNINSTALL
—>C:WINDOWSUNNeroShowTime.exe /UNINSTALL
—>C:WINDOWSUNNeroVision.exe /UNINSTALL
—>C:WINDOWSUNRecode.exe /UNINSTALL
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
Acorp PIM-2 V.92 Modem—>C:UIUCXT10B6HXFSETUP.EXE -U -IVEN_14F1&DEV_10B6
Acronis True Image Home—>MsiExec.exe /X{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}
ApexDC++—>»C:Program FilesApexDC++unins000.exe»
ATI — Software Uninstall Utility—>C:Program FilesATI TechnologiesUninstallAllAtiCimUn.exe
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Auslogics BoostSpeed—>»C:Program FilesAuslogics BoostSpeed 4.2.6.170unins000.exe»
CCleaner (remove only)—>»C:Program FilesCCleaner 2.15.815uninst.exe»
Download Master version 5.5.10.1163—>»C:Program FilesDownload Master 5.5.10.1163unins000.exe»
ESET NOD32 Antivirus—>MsiExec.exe /I{BB703122-AF65-4AD9-BCA0-273E165DABEE}
Flash Guard 1.0—>C:Program FilesFlash Guard 1.0.0.5uninst.exe
FlashGet 1.9.4.1063—>C:Program FilesFlashGet 1.9.4uninst.exe
Generic — HCF PCI Modem—>C:Program FilesUIUCXT1033HXFSETUP.EXE -U -IgenHCFk.inf
K-Lite Codec Pack 4.1.7 (Corporate)—>»C:Program FilesK-Lite Codec Packunins000.exe»
Malwarebytes’ Anti-Malware—>»C:Program FilesMalwarebytes Anti-Malware 1.36unins000.exe»
MediaMonkey 3.0—>»C:Program Files MediaMonkey Gold 3.0.5.1187unins000.exe»
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Office Visio Professional 2003—>MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 Redistributable — x86 9.0.21022—>MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
MSXML 4.0 SP2 (KB941833)—>MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)—>MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8—>MsiExec.exe /X{81C6BFED-691E-402A-95DA-F6DE1A351049}
neroxml—>MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers—>C:WINDOWSsystem32nvuide.exe UninstallGUI
Outpost Firewall Pro—>»C:Program FilesAgnitum Outpost Firewall Pro 6.5.2509unins000.exe»
Realtek High Definition Audio Driver—>RtkUpd.exe -r -m
SimpleDivX—>»C:Program FilesSimpleDivX 1.40.25unins000.exe»
Unlocker 1.8.7—>C:Program FilesUnlockeruninst.exe
VCRedistSetup—>MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
Vista Drive Icon 1.3—>C:Program FilesVista Drive Iconuninst.exe
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Критическое обновление для проигрывателя Windows Media 11 — (KB959772)—>»C:WINDOWS$NtUninstallKB959772_WM11$spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 7 (KB938127-v2)—>»C:WINDOWSie7updatesKB938127-v2-IE7spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 7 (KB958215)—>»C:WINDOWSie7updatesKB958215-IE7spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 7 (KB960714)—>»C:WINDOWSie7updatesKB960714-IE7spuninstspuninst.exe»
Обновление безопасности для Windows Internet Explorer 7 (KB963027)—>»C:WINDOWSie7updatesKB963027-IE7spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB923789)—>C:WINDOWSsystem32MacroMedFlashgenuinst.exe C:WINDOWSsystem32MacroMedFlashKB923789.inf
Обновление безопасности для Windows XP (KB938464)—>»C:WINDOWS$NtUninstallKB938464$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB952004)—>»C:WINDOWS$NtUninstallKB952004$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB954211)—>»C:WINDOWS$NtUninstallKB954211$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB954459)—>»C:WINDOWS$NtUninstallKB954459$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB954600)—>»C:WINDOWS$NtUninstallKB954600$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB955069)—>»C:WINDOWS$NtUninstallKB955069$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB956572)—>»C:WINDOWS$NtUninstallKB956572$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB956802)—>»C:WINDOWS$NtUninstallKB956802$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB956803)—>»C:WINDOWS$NtUninstallKB956803$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB956841)—>»C:WINDOWS$NtUninstallKB956841$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB957097)—>»C:WINDOWS$NtUninstallKB957097$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB958644)—>»C:WINDOWS$NtUninstallKB958644$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB958687)—>»C:WINDOWS$NtUninstallKB958687$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB958690)—>»C:WINDOWS$NtUninstallKB958690$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB959426)—>»C:WINDOWS$NtUninstallKB959426$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB960225)—>»C:WINDOWS$NtUninstallKB960225$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB960803)—>»C:WINDOWS$NtUninstallKB960803$spuninstspuninst.exe»
Обновление безопасности для Windows XP (KB961373)—>»C:WINDOWS$NtUninstallKB961373$spuninstspuninst.exe»
Обновление безопасности для проигрывателя Windows Media — (KB952069)—>»C:WINDOWS$NtUninstallKB952069_WM9$spuninstspuninst.exe»
Обновление безопасности для проигрывателя Windows Media 11 — (KB954154)—>»C:WINDOWS$NtUninstallKB954154_WM11$spuninstspuninst.exe»
Пакет драйверов Windows — Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)—>C:PROGRA~1DIFX7B44739871F4D539FA473F57A832EA4B6A59EF06DPInst.exe /d /u C:WINDOWSsystem32DRVSTOREamdk8_A8D26169E6EDA9205D39A3918FEA7EFFFE870B0Aamdk8.inf
Русификация MediaMonkey 3—>»C:Program Files MediaMonkey Gold 3.0.5.1187unins001.exe»
Сократ Персональный 4.1—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{9CD789E2-B7CE-11D5-B7E9-00A0C9449F99}setup.exe»
Ультрафиолет Screen Saver—>C:WINDOWSУльтрафиолет.scr /u

======Security center information======

AV: ESET NOD32 Antivirus 3.0
FW: Outpost Firewall Pro

======System event log======

Computer Name: ALKE
Event Code: 5728
Message: Не удалось загрузить ни один транспорт.

Record Number: 5
Source Name: Workstation
Time Written: 20090214231855.000000+300
Event Type: ошибка
User:

Computer Name: MACHINENAME
Event Code: 2
Message: При проверке, что DeviceSerial0 является последовательным портом, обнаружена и будет использоваться прямая очередь.

Record Number: 4
Source Name: Serial
Time Written: 20090215020825.000000+300
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 2
Message:
Record Number: 3
Source Name: nvatabus
Time Written: 20090215020825.000000+300
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 6005
Message: Запущена служба журнала событий.

Record Number: 2
Source Name: EventLog
Time Written: 20090215020806.000000+300
Event Type: информация
User:

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows 2000 (R) 5.01. 2600 Service Pack 3 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20090215020806.000000+300
Event Type: информация
User:

=====Application event log=====

Computer Name: ALKE
Event Code: 1000
Message: Счетчики производительности для службы MSDTC (MSDTC) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 5
Source Name: LoadPerf
Time Written: 20090214232021.000000+300
Event Type: информация
User:

Computer Name: ALKE
Event Code: 1000
Message: Счетчики производительности для службы TermService (Службы терминалов) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 4
Source Name: LoadPerf
Time Written: 20090214232016.000000+300
Event Type: информация
User:

Computer Name: ALKE
Event Code: 1000
Message: Счетчики производительности для службы RSVP (QoS RSVP) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 3
Source Name: LoadPerf
Time Written: 20090214231912.000000+300
Event Type: информация
User:

Computer Name: ALKE
Event Code: 1000
Message: Счетчики производительности для службы RemoteAccess (Маршрутизация и удаленный доступ) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 2
Source Name: LoadPerf
Time Written: 20090214231907.000000+300
Event Type: информация
User:

Computer Name: ALKE
Event Code: 1000
Message: Счетчики производительности для службы PSched (PSched) загружены успешно.
Данные записи содержат новые значение индекса,
назначенного этой службе.

Record Number: 1
Source Name: LoadPerf
Time Written: 20090214231857.000000+300
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 67 Stepping 2, AuthenticAMD
«PROCESSOR_REVISION»=4302
«NUMBER_OF_PROCESSORS»=2
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

EOF
5 мая, 2009 в 4:33 пп #23747
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
5 мая, 2009 в 6:14 пп #23748
Alke
Participant
- Темы:2
- Сообщений:9
Лог файл:

ComboFix 09-05-02.4 — Костик 05.05.2009 23:09.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1579 [GMT 6:00]
Running from: c:documents and settingsКостикРабочий столComboFix.exe
Command switches used :: c:documents and settingsКостикРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
FW: Outpost Firewall Pro *disabled*
* Created a new restore point
.
/wow section — STAGE 41
pevFind by Billy Robert O’Neal III
Version 0.0.3.1
Distributed under the Boost Software License, Version 1.0.
(See accompanying file LICENSE_1_0.txt or copy at
http://www.boost.org/LICENSE_1_0.txt)

Filename regular expressions library is
«Copyright (C)1997-1998 by David R. Tribble, all rights reserved.»

Системе не удается найти указанный путь.
Не удается найти файл temp4001.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat

BITS: Possible infected sites

hxxp://wsus.e-tagil.net:8530
.
((((((((((((((((((((((((( Files Created from 2009-04-05 to 2009-05-05 )))))))))))))))))))))))))))))))
.

2009-05-05 13:26 . 2009-05-05 13:26

d

w c:documents and settingsКостикApplication DataDavis Software
2009-05-05 13:26 . 2009-05-05 13:26

d

w c:program filesFlash Guard 1.0.0.10
2009-05-05 10:56 . 2009-05-05 10:56

d

w C:rsit
2009-05-02 13:07 . 2009-05-05 17:08

d—h—r c:documents and settingsКостикRecent
2009-05-02 13:07 . 2009-05-05 17:08

d—h—r c:documents and settingsКостикRecent
2009-05-02 00:06 . 2009-05-02 00:06

d

w c:program filesScreenshot Creator 2.0 — Видеозахват экрана
2009-05-01 23:58 . 2009-05-01 23:58

d-sh—r C:SYSTEM
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:documents and settingsКостикApplication DataMalwarebytes
2009-05-01 23:44 . 2009-04-06 09:32 15504 —-a-w c:windowssystem32driversmbam.sys
2009-05-01 23:44 . 2009-04-06 09:32 38496 —-a-w c:windowssystem32driversmbamswissarmy.sys
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:documents and settingsAll UsersApplication DataMalwarebytes
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:program filesMalwarebytes Anti-Malware 1.36
2009-04-27 17:23 . 2008-07-09 07:58 26488 —-a-w c:windowssystem32spupdsvc.exe
2009-04-27 17:07 . 2009-02-03 19:58 56832 -c—-w c:windowssystem32dllcachesecur32.dll
2009-04-27 17:07 . 2009-03-21 14:09 995840 -c—-w c:windowssystem32dllcachekernel32.dll
2009-04-27 16:57 . 2008-12-16 12:32 354304 -c—-w c:windowssystem32dllcachewinhttp.dll
2009-04-27 16:44 . 2009-04-27 16:44

d-sh—r C:BIN
2009-04-27 16:39 . 2008-08-23 06:46 26368 -c—a-w c:windowssystem32dllcacheusbstor.sys
2009-04-27 16:08 . 2009-04-27 15:58

d

w c:program filesESET
2009-04-27 15:49 . 2008-12-24 11:24 703904 —-a-w c:windowssystem32driversSandBox.sys
2009-04-27 15:49 . 2008-12-17 05:07 257176 —-a-w c:windowssystem32driversafwcore.sys
2009-04-27 15:49 . 2008-06-20 03:45 30864 —-a-w c:windowssystem32driversafw.sys
2009-04-27 15:49 . 2009-05-02 10:03

d

w c:windowssystem32Filt
2009-04-27 15:49 . 2009-05-05 17:12

d

w c:program filesAgnitum Outpost Firewall Pro 6.5.2509
2009-04-27 15:49 . 2009-04-27 15:49

d

w c:documents and settingsAll UsersApplication DataAgnitum
2009-04-27 15:35 . 2009-04-27 15:35

d

w c:program filesDownload Master 5.5.10.1163

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-05 17:12 . 2009-02-14 18:25 6 —ha-w c:windowsTasksSA.DAT
2009-05-05 15:41 . 2009-02-15 00:55

d

w c:program filesFlashGet 1.9.4
2009-04-27 18:29 . 2008-04-15 08:00 64962 —-a-w c:windowssystem32perfc019.dat
2009-04-27 18:29 . 2008-04-15 08:00 421458 —-a-w c:windowssystem32perfh019.dat
2009-03-06 13:51 . 2008-04-15 08:00 284672 —-a-w c:windowssystem32pdh.dll
2009-03-03 00:16 . 2008-08-23 08:38 828416 —-a-w c:windowssystem32wininet.dll
2009-02-20 17:19 . 2008-04-15 08:00 78336 —-a-w c:windowssystem32ieencode.dll
2009-02-15 17:29 . 2009-02-15 17:29 262144 —-a-w c:windowssystem32default_user_class.dat
2009-02-15 11:17 . 2009-02-14 18:28 18632 —-a-w c:documents and settingsКостикLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-02-15 09:27 . 2009-02-15 09:27 392320 —-a-w c:windowssystem32driverstimntr.sys
2009-02-15 09:27 . 2009-02-15 09:27 32768 —-a-w c:windowssystem32driverstifsfilt.sys
2009-02-15 09:27 . 2009-02-15 09:27 114048 —-a-w c:windowssystem32driverssnapman.sys
2009-02-14 21:17 . 2009-02-14 21:17 0 —-a-w c:windowsativpsrm.bin
2009-02-14 20:04 . 2009-02-14 18:22 86327 —-a-w c:windowspchealthhelpctrOfflineCacheindex.dat
2009-02-14 20:01 . 2009-02-14 20:01 142096 —-a-w c:windowssystem32driverstmcomm.sys
2009-02-14 18:33 . 2008-08-23 08:46 1571840 —-a-w c:windowssystem32sfcfiles.dll
2009-02-14 18:23 . 2009-02-14 18:23 717296 —-a-w c:windowssystem32driverssptd.sys
2009-02-14 18:22 . 2008-04-15 08:00 67 —sha-w c:windowsFontsdesktop.ini
2009-02-14 18:20 . 2009-02-14 18:20 22564 —-a-w c:windowssystem32emptyregdb.dat
2009-02-14 17:43 . 2009-02-14 17:43 503808 —-a-w c:windowsУльтрафиолет.scr
2009-02-14 17:43 . 2009-02-14 17:43 606848 —-a-w c:windowsflashax.exe
2009-02-14 17:43 . 2009-02-14 17:43 12288 —-a-w c:windowsimpborl.dll
2009-02-10 13:27 . 2008-04-15 08:00 687616 —-a-w c:windowssystem32advapi32.dll
2009-02-09 14:07 . 2008-04-15 08:00 1846912 —-a-w c:windowssystem32win32k.sys
2009-02-09 11:18 . 2008-08-23 12:46 2025984 —-a-w c:windowssystem32ntkrnlpa.exe
2009-02-09 11:18 . 2008-08-23 08:46 2147328 —-a-w c:windowssystem32ntoskrnl.exe
2009-02-09 11:18 . 2008-04-15 08:00 111104 —-a-w c:windowssystem32services.exe
2009-02-09 10:57 . 2008-08-23 08:38 731136 —-a-w c:windowssystem32lsasrv.dll
2009-02-09 10:57 . 2008-04-15 08:00 401408 —-a-w c:windowssystem32rpcss.dll
2009-02-09 10:57 . 2008-05-05 09:17 719360 —-a-w c:windowssystem32ntdll.dll
2009-02-06 10:36 . 2008-04-15 08:00 35328 —-a-w c:windowssystem32sc.exe
.

Sigcheck

[-] 2008-04-14 17:40 581632 884DE990C498D77C28F8608E09D4DFE1 c:windowssystem32user32.dll
[-] 2008-04-14 17:40 581632 884DE990C498D77C28F8608E09D4DFE1 c:windowssystem32dllcacheuser32.dll

[-] 2008-08-23 08:46 361600 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 c:windowssystem32driverstcpip.sys

[-] 2008-08-23 08:38 1520640 DA765FAEFC21A92269F301C147BE8B8C c:windowsexplorer.exe
[-] 2008-08-23 08:38 1520640 DA765FAEFC21A92269F301C147BE8B8C c:windowssystem32dllcacheexplorer.exe

[-] 2008-04-15 08:00 37376 0DE18690E4223998E471048889F09B8B c:windowssystem32ctfmon.exe
[-] 2008-04-15 08:00 37376 0DE18690E4223998E471048889F09B8B c:windowssystem32dllcachectfmon.exe

[-] 2008-08-19 20:00 295936 CDB13F1E48540E19F4B961E77904F168 c:windowssystem32termsrv.dll

[-] 2009-02-14 18:33 1571840 A80FDD604C80D496F2959F07F3494AA8 c:windowssystem32sfcfiles.dll
[-] 2009-02-14 18:33 1571840 A80FDD604C80D496F2959F07F3494AA8 c:windowssystem32dllcachesfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2008-04-15 37376]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«DrvIcon»=»c:program filesVista Drive IconDrvIcon.exe» [2007-07-04 45056]
«SoundMAXPnP»=»c:program filesAnalog DevicesCoresmax4pnp.exe» [2006-12-18 868352]
«OutpostMonitor»=»c:progra~1AGNITU~1.250op_mon.exe» [2008-12-25 1227080]
«OutpostFeedBack»=»c:program filesAgnitum Outpost Firewall Pro 6.5.2509feedback.exe» [2008-12-25 432968]
«OutpostFeedBack(1)»=»c:program filesAgnitum Outpost Firewall Pro 6.5.2509feedback.exe» [2008-12-25 432968]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1agnitu~1.250wl_hook.dll

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
«wave2″= serwvdrv.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\Network Diagnostic\xpnetdiag.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\FlashGet 1.9.4\flashget.exe»=

R2 acssrv;Agnitum Client Security Service;c:progra~1AGNITU~1.250acs.exe [2008-12-25 1267016]
S1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2007-11-14 30728]
S1 SandBox;SandBox;c:windowssystem32driversSandBox.sys [2008-12-24 703904]
S2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [2007-11-14 455936]
S2 MBAMService;MBAMService;c:program filesMalwarebytes Anti-Malware 1.36mbamservice.exe [2009-04-06 179856]
S3 afw;Agnitum firewall driver;c:windowssystem32DRIVERSafw.sys [2008-06-20 30864]
S3 afwcore;afwcore;c:windowssystem32driversafwcore.sys [2008-12-17 257176]
S3 ASWFilt;ASWFilt;c:windowssystem32FiltASWFilt.dll [2008-12-24 34080]
S3 MBAMProtector;MBAMProtector;c:windowssystem32driversmbam.sys [2009-04-06 15504]

— Other Services/Drivers In Memory —

*Deregistered* — uphcleanhlp

[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}]
c:systemFILESARMY.exe
.
.

Supplementary Scan

.
uStart Page = hxxp://samlab.ws/
IE: &Закачать все при помощи FlashGet — c:program filesFlashGet 1.9.4jc_all.htm
IE: &Закачать при помощи FlashGet — c:program filesFlashGet 1.9.4jc_link.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Master 5.5.10.1163dmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Master 5.5.10.1163dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Master 5.5.10.1163dmaster.exe
TCP: {0BC48D16-C5DC-4A00-9515-C6DD09D7924A} = 10.0.0.200
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-05 23:13
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(764)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll

— — — — — — — > ‘lsass.exe'(836)
c:windowssystem32relog_ap.dll
c:windowssystem32setupapi.dll

— — — — — — — > ‘explorer.exe'(2564)
c:windowssystem32SHDOCVW.dll
c:windowssystem32COMRes.dll
c:windowsSystem32cscui.dll
c:windowssystem32msi.dll
c:windowssystem32SETUPAPI.dll
c:windowssystem32wpdshserviceobj.dll
c:windowssystem32portabledevicetypes.dll
c:windowssystem32portabledeviceapi.dll
c:windowssystem32credui.dll
c:windowssystem32MSVCP60.dll
.

Other Running Processes

.
c:windowssystem32ati2evxx.exe
c:windowssystem32ati2evxx.exe
c:program filesCommon FilesAcronisSchedule2schedul2.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:program filesAlcohol 120% retail 1.9.7.6022StarWindStarWindServiceAE.exe
c:windowssystem32uphclean.exe
c:program filesESETESET NOD32 Antivirusegui.exe
c:windowssystem32wscntfy.exe
c:windowssystem32imapi.exe
.
**************************************************************************
.
Completion time: 2009-05-05 23:14 — machine was rebooted
ComboFix-quarantined-files.txt 2009-05-05 17:14

Pre-Run: 43 789 975 552 байт свободно
Post-Run: 43 737 808 896 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect /usepmtimer

210 — E O F — 2009-05-02 10:20
7 мая, 2009 в 2:16 пп #23749
Admin
Keymaster
- Темы:40
- Сообщений:5676
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Registry::

[-HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342}]



File::

c:systemFILESARMY.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
14 мая, 2009 в 8:02 пп #23750
Alke
Participant
- Темы:2
- Сообщений:9
Log file
ComboFix 09-05-14.02 — Костик 15.05.2009 1:53.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1617 [GMT 6:00]
Running from: c:documents and settingsКостикРабочий столComboFix.exe
Command switches used :: c:documents and settingsКостикРабочий столCFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Outpost Firewall Pro *disabled* {8A20CA2A-9E02-4A64-923B-0A38208EB7FD}

FILE ::
c:systemFILESARMY.exe
.
/wow section — STAGE 41
Системе не удается найти указанный путь.

((((((((((((((((((((((((( Files Created from 2009-04-14 to 2009-05-14 )))))))))))))))))))))))))))))))
.

2009-05-14 19:43 . 2009-05-14 19:43

d

w c:program filestrend micro
2009-05-02 00:06 . 2009-05-02 00:06

d

w c:program filesScreenshot Creator 2.0 — Видеозахват экрана
2009-05-01 23:58 . 2009-05-01 23:58

d-sh—r C:SYSTEM
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:documents and settingsКостикApplication DataMalwarebytes
2009-05-01 23:44 . 2009-04-06 09:32 15504 —-a-w c:windowssystem32driversmbam.sys
2009-05-01 23:44 . 2009-04-06 09:32 38496 —-a-w c:windowssystem32driversmbamswissarmy.sys
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:documents and settingsAll UsersApplication DataMalwarebytes
2009-05-01 23:44 . 2009-05-01 23:44

d

w c:program filesMalwarebytes Anti-Malware 1.36
2009-04-27 17:23 . 2008-07-09 07:58 26488 —-a-w c:windowssystem32spupdsvc.exe
2009-04-27 17:07 . 2009-02-03 19:58 56832 -c—-w c:windowssystem32dllcachesecur32.dll
2009-04-27 17:07 . 2009-03-21 14:09 995840 -c—-w c:windowssystem32dllcachekernel32.dll
2009-04-27 16:57 . 2008-12-16 12:32 354304 -c—-w c:windowssystem32dllcachewinhttp.dll
2009-04-27 16:44 . 2009-04-27 16:44

d-sh—r C:BIN
2009-04-27 16:39 . 2008-08-23 06:46 26368 -c—a-w c:windowssystem32dllcacheusbstor.sys
2009-04-27 16:08 . 2009-04-27 15:58

d

w c:program filesESET
2009-04-27 15:49 . 2008-12-24 11:24 703904 —-a-w c:windowssystem32driversSandBox.sys
2009-04-27 15:49 . 2008-12-17 05:07 257176 —-a-w c:windowssystem32driversafwcore.sys
2009-04-27 15:49 . 2008-06-20 03:45 30864 —-a-w c:windowssystem32driversafw.sys
2009-04-27 15:49 . 2009-05-02 10:03

d

w c:windowssystem32Filt
2009-04-27 15:49 . 2009-05-14 19:43

d

w c:program filesAgnitum Outpost Firewall Pro 6.5.2509
2009-04-27 15:49 . 2009-04-27 15:49

d

w c:documents and settingsAll UsersApplication DataAgnitum
2009-04-27 15:35 . 2009-04-27 15:35

d

w c:program filesDownload Master 5.5.10.1163

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-02 11:18 . 2009-02-15 00:55

d

w c:program filesFlashGet 1.9.4
2009-04-27 18:29 . 2008-04-15 08:00 64962 —-a-w c:windowssystem32perfc019.dat
2009-04-27 18:29 . 2008-04-15 08:00 421458 —-a-w c:windowssystem32perfh019.dat
2009-03-06 13:51 . 2008-04-15 08:00 284672 —-a-w c:windowssystem32pdh.dll
2009-03-03 00:16 . 2008-08-23 08:38 828416 —-a-w c:windowssystem32wininet.dll
2009-02-20 17:19 . 2008-04-15 08:00 78336 —-a-w c:windowssystem32ieencode.dll
2009-02-15 17:29 . 2009-02-15 17:29 262144 —-a-w c:windowssystem32default_user_class.dat
2009-02-15 11:17 . 2009-02-14 18:28 18632 —-a-w c:documents and settingsКостикLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-02-15 09:27 . 2009-02-15 09:27 392320 —-a-w c:windowssystem32driverstimntr.sys
2009-02-15 09:27 . 2009-02-15 09:27 32768 —-a-w c:windowssystem32driverstifsfilt.sys
2009-02-15 09:27 . 2009-02-15 09:27 114048 —-a-w c:windowssystem32driverssnapman.sys
2009-02-14 21:17 . 2009-02-14 21:17 0 —-a-w c:windowsativpsrm.bin
2009-02-14 20:01 . 2009-02-14 20:01 142096 —-a-w c:windowssystem32driverstmcomm.sys
2009-02-14 18:33 . 2008-08-23 08:46 1571840 —-a-w c:windowssystem32sfcfiles.dll
2009-02-14 18:23 . 2009-02-14 18:23 717296 —-a-w c:windowssystem32driverssptd.sys
2009-02-14 18:20 . 2009-02-14 18:20 22564 —-a-w c:windowssystem32emptyregdb.dat
2009-02-14 17:43 . 2009-02-14 17:43 503808 —-a-w c:windowsУльтрафиолет.scr
2009-02-14 17:43 . 2009-02-14 17:43 606848 —-a-w c:windowsflashax.exe
2009-02-14 17:43 . 2009-02-14 17:43 12288 —-a-w c:windowsimpborl.dll
.

Sigcheck

[-] 2008-04-14 17:40 581632 884DE990C498D77C28F8608E09D4DFE1 c:windowssystem32user32.dll
[-] 2008-04-14 17:40 581632 884DE990C498D77C28F8608E09D4DFE1 c:windowssystem32dllcacheuser32.dll

[-] 2008-08-23 08:46 361600 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 c:windowssystem32driverstcpip.sys

[-] 2008-08-23 08:38 1520640 DA765FAEFC21A92269F301C147BE8B8C c:windowsexplorer.exe
[-] 2008-08-23 08:38 1520640 DA765FAEFC21A92269F301C147BE8B8C c:windowssystem32dllcacheexplorer.exe

[-] 2008-04-15 08:00 37376 0DE18690E4223998E471048889F09B8B c:windowssystem32ctfmon.exe
[-] 2008-04-15 08:00 37376 0DE18690E4223998E471048889F09B8B c:windowssystem32dllcachectfmon.exe

[-] 2008-08-19 20:00 295936 CDB13F1E48540E19F4B961E77904F168 c:windowssystem32termsrv.dll

[-] 2009-02-14 18:33 1571840 A80FDD604C80D496F2959F07F3494AA8 c:windowssystem32sfcfiles.dll
[-] 2009-02-14 18:33 1571840 A80FDD604C80D496F2959F07F3494AA8 c:windowssystem32dllcachesfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2008-04-15 37376]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«OutpostMonitor»=»c:progra~1AGNITU~1.250op_mon.exe» [2008-12-25 1227080]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1AGNITU~1.250wl_hook.dll

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
«wave2″= serwvdrv.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\Network Diagnostic\xpnetdiag.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\FlashGet 1.9.4\flashget.exe»=

R1 epfwtdir;epfwtdir;c:windowssystem32driversepfwtdir.sys [14.11.2007 15:06 30728]
R1 SandBox;SandBox;c:windowssystem32driversSandBox.sys [27.04.2009 21:49 703904]
R2 ekrn;Eset Service;c:program filesESETESET NOD32 Antivirusekrn.exe [14.11.2007 15:05 455936]
R2 MBAMService;MBAMService;c:program filesMalwarebytes Anti-Malware 1.36mbamservice.exe [02.05.2009 5:44 179856]
R3 afw;Agnitum firewall driver;c:windowssystem32driversafw.sys [27.04.2009 21:49 30864]
R3 afwcore;afwcore;c:windowssystem32driversafwcore.sys [27.04.2009 21:49 257176]
R3 ASWFilt;ASWFilt;c:windowssystem32FiltASWFilt.dll [27.04.2009 21:49 34080]
R3 MBAMProtector;MBAMProtector;c:windowssystem32driversmbam.sys [02.05.2009 5:44 15504]
S2 acssrv;Agnitum Client Security Service;c:progra~1AGNITU~1.250acs.exe [27.04.2009 21:49 1267016]

— Other Services/Drivers In Memory —

*Deregistered* — uphcleanhlp
.
.

Supplementary Scan

.
uStart Page = hxxp://samlab.ws/
IE: &Закачать все при помощи FlashGet — c:program filesFlashGet 1.9.4jc_all.htm
IE: &Закачать при помощи FlashGet — c:program filesFlashGet 1.9.4jc_link.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Master 5.5.10.1163dmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Master 5.5.10.1163dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Master 5.5.10.1163dmaster.exe
TCP: {0BC48D16-C5DC-4A00-9515-C6DD09D7924A} = 10.0.0.200
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-15 01:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(760)
c:windowssystem32SETUPAPI.dll
c:progra~1AGNITU~1.250wl_hook.dll
c:windowssystem32Ati2evxx.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll

— — — — — — — > ‘lsass.exe'(816)
c:windowssystem32relog_ap.dll
c:windowssystem32setupapi.dll

— — — — — — — > ‘explorer.exe'(1192)
c:windowssystem32SHDOCVW.dll
c:windowssystem32COMRes.dll
c:windowsSystem32cscui.dll
c:windowssystem32credui.dll
c:windowssystem32MSVCP60.dll
c:windowssystem32msi.dll
c:windowssystem32SETUPAPI.dll
c:windowssystem32wpdshserviceobj.dll
c:windowssystem32portabledevicetypes.dll
c:windowssystem32portabledeviceapi.dll
.
Completion time: 2009-05-14 1:55
ComboFix-quarantined-files.txt 2009-05-14 19:55

Pre-Run: 46 577 324 032 байт свободно
Post-Run: 46 570 135 552 байт свободно

154 — E O F — 2009-05-02 10:20
16 мая, 2009 в 3:56 пп #23751
Admin
Keymaster
- Темы:40
- Сообщений:5676
Лог выглядит нормально.
Как сейчас работает компьютер ?

Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования вставьте в ваш ответ.
16 мая, 2009 в 8:17 пп #23752
Alke
Participant
- Темы:2
- Сообщений:9
ОТЧЕТ О ПРОВЕРКЕ KASPERSKY ONLINE SCANNER 7.0
17 Май 2009 г.
Операционная система: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Версия Kaspersky Online Scanner: 7.0.26.13
Последнее обновление баз: Saturday, May 16, 2009 21:31:34
Количество записей в базах: 2186387

Параметры проверки
проверять, используя следующие базы расширенные
Проверять архивы да
Проверять почтовые базы да

Область проверки Критические области
C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
C:Documents and SettingsКостикГлавное менюПрограммыАвтозагрузка
C:Program Files
C:WINDOWS

Статистика проверки
Проверено объектов 17281
Обнаружено угроз 0
Обнаружено зараженных объектов 0
Обнаружено подозрительных объектов 0
Время проверки 00:12:53

Угроз не обнаружено. Проверенная область незаражена.
Выбранная область проверена.
16 мая, 2009 в 8:33 пп #23753
Alke
Participant
- Темы:2
- Сообщений:9
Вроде все нормально, но командная строка после работы программы «ComboFix» вместо кирилицы пишет иероглифами, объясните подробнее, как можно сменить в консоли шрифт?
И еще одна проблема, это флешки, которые остались зараженными, что делать с ними дальше?
18 мая, 2009 в 12:46 пп #23754
Admin
Keymaster
- Темы:40
- Сообщений:5676
флешки, которые остались зараженными, что делать с ними дальше?

Combofix отключил автозапуск с дисков, поэтому можете вставить их по очереди в компьютер и обработать их программой Flash Disinfector.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

командная строка после работы программы «ComboFix» вместо кирилицы пишет иероглифами

Для начала нужно взглянуть, как Combofix сменил настройки.

Кликните Пуск, Выполнить, введите regedit и нажмите enter.
Откроется редактор реестра.
В левой панели откройте папку HKEY_CURRENT_USER
Кликните правой клавишей по Console.
Выберите Экспортировать
Введите имя файла console и запишите файл на ваш рабочий стол.
Закройте редактор реестра.

Вставьте в ваш ответ содержимое получившегося файла. Для этого откройте его в блокноте.
21 мая, 2009 в 4:01 пп #23755
Alke
Participant
- Темы:2
- Сообщений:9
Все шрифты почему-то сами собой восстановились, и в командной строке и в файловом менеджере «Far»

Огромнейшее Вам спасибо Валерий !!!
Я без Вашего сайта, сам не смог бы справиться. Две недели боролся с этой заразой.
Всем знакомым расскажу, что существуют люди, которые находят время и приходят на помощь в безвыходных для нас ситуациях.
С большим к Вам уважением Константин.

Для окончательной проверки я выкладываю Console.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERConsole]
«ColorTable00″=dword:00000000
«ColorTable01″=dword:00800000
«ColorTable02″=dword:00008000
«ColorTable03″=dword:00808000
«ColorTable04″=dword:00000080
«ColorTable05″=dword:00800080
«ColorTable06″=dword:00008080
«ColorTable07″=dword:00c0c0c0
«ColorTable08″=dword:00808080
«ColorTable09″=dword:00ff0000
«ColorTable10″=dword:0000ff00
«ColorTable11″=dword:00ffff00
«ColorTable12″=dword:000000ff
«ColorTable13″=dword:00ff00ff
«ColorTable14″=dword:0000ffff
«ColorTable15″=dword:00ffffff
«CursorSize»=dword:00000019
«FaceName»=»»
«FontFamily»=dword:00000000
«FontSize»=dword:00000000
«FontWeight»=dword:00000000
«FullScreen»=dword:00000000
«HistoryBufferSize»=dword:00000032
«InsertMode»=dword:00000000
«LoadConIme»=dword:00000001
«NumberOfHistoryBuffers»=dword:00000004
«PopupColors»=dword:000000f5
«QuickEdit»=dword:00000000
«ScreenBufferSize»=dword:012c0050
«ScreenColors»=dword:00000007
«WindowSize»=dword:00190050
25 мая, 2009 в 2:06 пп #23756
Admin
Keymaster
- Темы:40
- Сообщений:5676
Все шрифты почему-то сами собой восстановились, и в командной строке и в файловом менеджере «Far»

Рад что проблема разрешилась 🙂
Возможно вы установили какую-либо программу или обновили Windows, это и восстановило использование стандартных русских шрифтов.

Несколько завершающих действий.

1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.

2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

3. Подойдите к защите вашего компьютера более серьёзно.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.

Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую использовать только Оперу или Firefox.

4. Создайте новую точку восстановления и удалите все старые.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

5. И несколько дополнительных советов.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!
7 июня, 2009 в 6:21 пп #23757
Alke
Participant
- Темы:2
- Сообщений:9
Еще раз Огромное Вам спасибо!
Да поможет Вам:
Антивирус, Файервол и Точка востановления!
Автор

Сообщения