Удаление информера

This topic has 10 ответов, 2 участника, and was last updated 16 years, 6 months назад by Аноним.

Просмотр 11 сообщений - с 1 по 11 (из 11 всего)

Автор

Сообщения
10 января, 2009 в 11:49 пп #16107
Аноним
Гость
- Темы:532
- Сообщений:1553
При запуске браузера Mozilla Firefox всплывает рекламный информер. Пожалуйста, подскажите, как его удалить?
11 января, 2009 в 3:31 пп #21006
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.

Дважды кликните по скачанному файлу.
Кликните по кнопке Continue.
Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).

Вставьте оба RSIT лога в ваш ответ.
11 января, 2009 в 4:51 пп #21007
Аноним
Гость
- Темы:532
- Сообщений:1553
Logfile of random’s system information tool 1.05 (written by random/random)
Run by user at 2009-01-11 21:48:19
Microsoft Windows XP Professional Service Pack 2
System drive C: has 8 GB (42%) free of 20 GB
Total RAM: 894 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48, on 2009-01-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesCyberLinkShared filesRichVideo.exe
C:Program FilesDell Support Centerbinsprtsvc.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesSigmaTelC-Major AudioWDMstsystra.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesATI TechnologiesATI.ACECore-StaticMOM.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesDell Support Centerbinsprtcmd.exe
C:Program FilesMail.RuAgentMAgent.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:Program FilesSamsungEmoDioSMSTray.exe
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program Filescitysvyazcitysvyaz.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
C:Program FilesQIP.Onlineqiponline.exe
C:Program FilesSkypePhoneSkype.exe
C:Program FilesFreeCall.comFreeCallFreeCall.exe
C:Program FilesHPDigital Imagingbinhpqtra08.exe
C:Program FilesATI TechnologiesATI.ACECore-Staticccc.exe
C:Program FilesHPDigital ImagingbinhpqSTE08.exe
C:Program FilesSkypePlugin ManagerskypePM.exe
C:Program Filescitysvyazcitysvyazclient.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:WINDOWSExplorer.EXE
C:DownloadsRSIT.exe
C:Program Filestrend microuser.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — C:Program FilesMail.RuAgentMradllnewmrasearch.dll
R3 — URLSearchHook: Спутник@Mail.Ru — {09900DE8-1DCA-443F-9243-26FF581438AF} — C:Program FilesMail.RuSputnikMailRuSputnik.dll
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 — BHO: flashget urlcatch — {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} — C:Program FilesFlashGetjccatch.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_03binssv.dll
O2 — BHO: Спутник@Mail.Ru — {8984B388-A5BB-4DF7-B274-77B879E179DB} — C:Program FilesMail.RuSputnikMailRuSputnik.dll
O2 — BHO: BP Data Feeder — {9D64F819-9380-8473-DAB2-702FCB3D7A3E} — %USERPROFILE%Application Databpfeed.dll (file missing)
O2 — BHO: Google Toolbar Helper — {AA58ED58-01DD-4d91-8333-CF10577473F7} — c:program filesgooglegoogletoolbar1.dll
O2 — BHO: Google Toolbar Notifier BHO — {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} — C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll
O2 — BHO: FlashGet GetFlash Class — {F156768E-81EF-470C-9057-481BA8380DBA} — C:Program FilesFlashGetgetflash.dll
O3 — Toolbar: Rambler-Ассистент — {468CD8A9-7C25-45FA-969E-3D925C689DC4} — C:Program FilesRambler AssistantramblertoolbarU1.dll
O3 — Toolbar: Спутник@Mail.Ru — {09900DE8-1DCA-443F-9243-26FF581438AF} — C:Program FilesMail.RuSputnikMailRuSputnik.dll
O3 — Toolbar: &Google — {2318C2B1-4965-11d4-9B18-009027A5CD4F} — c:program filesgooglegoogletoolbar1.dll
O4 — HKLM..Run: [SigmatelSysTrayApp] %ProgramFiles%SigmaTelC-Major AudioWDMstsystra.exe
O4 — HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 — HKLM..Run: [StartCCC] «C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe»
O4 — HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 — HKLM..Run: [DellSupportCenter] «C:Program FilesDell Support Centerbinsprtcmd.exe» /P DellSupportCenter
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [RocketDock] C:Program FilesRocketDockRocketDock.exe
O4 — HKLM..Run: [RemoteControl] «C:Program FilesCyberLinkPowerDVDPDVDServ.exe»
O4 — HKLM..Run: [LanguageShortcut] «C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe»
O4 — HKLM..Run: [SMSTray] C:Program FilesSamsungEmoDioSMSTray.exe
O4 — HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 — HKLM..Run: [dscactivate] «C:Program FilesDell Support Centergs_agentcustomdsca.exe»
O4 — HKLM..Run: [citysvyaz] C:Program Filescitysvyazcitysvyaz.exe
O4 — HKLM..RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:WINDOWSsystem32sti_ci.dll,WiaCreateWizardMenu
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe
O4 — HKCU..Run: [QIP.Online] C:Program FilesQIP.Onlineqiponline.exe auto_start
O4 — HKCU..Run: [Skype] «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
O4 — HKCU..Run: [FreeCall] «C:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User ‘Default user’)
O4 — Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imagingbinhpqtra08.exe
O8 — Extra context menu item: &Highlight — C:WINDOWSWEBhighlight.htm
O8 — Extra context menu item: &Links List — C:WINDOWSWEBurllist.htm
O8 — Extra context menu item: &Web Search — C:WINDOWSWEBselsearch.htm
O8 — Extra context menu item: &Закачать все при помощи FlashGet — C:Program FilesFlashGetjc_all.htm
O8 — Extra context menu item: &Закачать при помощи FlashGet — C:Program FilesFlashGetjc_link.htm
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~1OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Open Frame in &New Window — C:WINDOWSWEBfrm2new.htm
O8 — Extra context menu item: Zoom &In — C:WINDOWSWEBzoomin.htm
O8 — Extra context menu item: Zoom O&ut — C:WINDOWSWEBzoomout.htm
O8 — Extra context menu item: Добавить в Rambler-Закладки — res://C:Program FilesRambler AssistantramblertoolbarU1.dll/zakladki.htm
O8 — Extra context menu item: Найти с помощью Рамблера — res://C:Program FilesRambler AssistantramblertoolbarU1.dll/search.htm
O8 — Extra context menu item: Перевести с помощью словарей Рамблера — res://C:Program FilesRambler AssistantramblertoolbarU1.dll/dic.htm
O8 — Extra context menu item: Поиск@Mail.Ru — res://C:Program FilesMail.RuSputnikMailRuSputnik.dll/282
O8 — Extra context menu item: Словари@Mail.Ru — res://C:Program FilesMail.RuSputnikMailRuSputnik.dll/283
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_03binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_03binssv.dll
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~1OFFICE11REFIEBAR.DLL
O9 — Extra button: FlashGet — {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} — C:Program FilesFlashGetFlashGet.exe
O9 — Extra ‘Tools’ menuitem: FlashGet — {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} — C:Program FilesFlashGetFlashGet.exe
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O17 — HKLMSystemCCSServicesTcpip..{9A9A03F4-D68A-4659-9150-200B579A10DC}: NameServer = 212.33.225.211 212.33.224.131
O17 — HKLMSystemCCSServicesTcpip..{C7D304A0-AA78-4B7D-A1C9-4CBB7D8A9906}: NameServer = 212.120.160.139,212.120.160.130
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: Adobe LM Service — Unknown owner — C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 — Service: avast! iAVS4 Control Service (aswUpdSv) — ALWIL Software — C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: ATI Smart — Unknown owner — C:WINDOWSsystem32ati2sgag.exe
O23 — Service: avast! Antivirus — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 — Service: avast! Mail Scanner — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 — Service: avast! Web Scanner — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 — Service: Google Updater Service (gusvc) — Google — C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 — Service: Cyberlink RichVideo Service(CRVS) (RichVideo) — Unknown owner — C:Program FilesCyberLinkShared filesRichVideo.exe
O23 — Service: SupportSoft Sprocket Service (dellsupportcenter) (sprtsvc_dellsupportcenter) — SupportSoft, Inc. — C:Program FilesDell Support Centerbinsprtsvc.exe

—
End of file — 11081 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
FGCatchUrl — C:Program FilesFlashGetjccatch.dll [2007-08-06 94308]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class — C:Program FilesJavajre1.6.0_03binssv.dll [2007-09-25 501136]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{8984B388-A5BB-4DF7-B274-77B879E179DB}]
MailRuBHO Class — C:Program FilesMail.RuSputnikMailRuSputnik.dll [2009-01-07 676704]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9D64F819-9380-8473-DAB2-702FCB3D7A3E}]
BP Data Feeder — C:Documents and SettingsuserApplication Databpfeed.dll [2009-01-10 69632]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper — c:program filesgooglegoogletoolbar1.dll [2008-09-25 2427968]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO — C:Program FilesGoogleGoogleToolbarNotifier3.1.807.1746swg.dll [2008-10-10 737776]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F156768E-81EF-470C-9057-481BA8380DBA}]
FlashGet GetFlash Class — C:Program FilesFlashGetgetflash.dll [2007-05-18 163840]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{468CD8A9-7C25-45FA-969E-3D925C689DC4} — Rambler-Ассистент — C:Program FilesRambler AssistantramblertoolbarU1.dll [2008-12-28 849392]
{09900DE8-1DCA-443F-9243-26FF581438AF} — Спутник@Mail.Ru — C:Program FilesMail.RuSputnikMailRuSputnik.dll [2009-01-07 676704]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} — &Google — c:program filesgooglegoogletoolbar1.dll [2008-09-25 2427968]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SigmatelSysTrayApp»=C:Program FilesSigmaTelC-Major AudioWDMstsystra.exe [2007-05-10 405504]
«avast!»=C:PROGRA~1ALWILS~1Avast4ashDisp.exe [2008-11-26 81000]
«StartCCC»=C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe [2008-01-21 61440]
«SynTPEnh»=C:Program FilesSynapticsSynTPSynTPEnh.exe [2006-03-08 761947]
«DellSupportCenter»=C:Program FilesDell Support Centerbinsprtcmd.exe [2008-08-13 206064]
«MAgent»=C:Program FilesMail.RuAgentMAgent.exe [2009-01-07 5598392]
«RocketDock»=C:Program FilesRocketDockRocketDock.exe []
«RemoteControl»=C:Program FilesCyberLinkPowerDVDPDVDServ.exe [2007-02-07 71216]
«LanguageShortcut»=C:Program FilesCyberLinkPowerDVDLanguageLanguage.exe [2007-02-07 54832]
«SMSTray»=C:Program FilesSamsungEmoDioSMSTray.exe [2008-06-23 479232]
«HP Software Update»=C:Program FilesHPHP Software UpdateHPWuSchd2.exe [2007-05-08 54840]
«dscactivate»=C:Program FilesDell Support Centergs_agentcustomdsca.exe [2008-03-11 16384]
«citysvyaz»=C:Program Filescitysvyazcitysvyaz.exe [2008-10-28 2076672]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
«WIAWizardMenu»=C:WINDOWSsystem32sti_ci.dll [2004-08-04 136704]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2004-08-04 15360]
«swg»=C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe [2008-10-10 68856]
«QIP.Online»=C:Program FilesQIP.Onlineqiponline.exe [2008-11-26 3454976]
«Skype»=C:Program FilesSkypePhoneSkype.exe [2008-11-07 21633320]
«FreeCall»=C:Program FilesFreeCall.comFreeCallFreeCall.exe [2008-09-01 9109296]

C:Documents and SettingsAll UsersStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — C:Program FilesHPDigital Imagingbinhpqtra08.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2008-05-12 139264]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2007-12-30 133632]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
«{88485281-8b4b-4f8d-9ede-82e29a064277}»=C:PROGRA~1MarkAnyCONTEN~1MACSMA~1.DLL [2004-11-23 192512]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalPSEXESVC]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkPSEXESVC]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«NoInternetOpenWith «=1

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1
«DisableStatusMessages»=0

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=323
«ForceClassicControlPanel»=1
«NoResolveTrack»=1
«NoResolveSearch»=1
«NoSMConfigurePrograms»=1
«NoDriveAutoRun»=67108863
«NoDrives»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveAutoRun»=
«NoDriveTypeAutoRun»=
«NoDrives»=

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:Program FilesFlashGetflashget.exe»=»C:Program FilesFlashGetflashget.exe:*:Enabled:Flashget»
«C:Program FilesICQ6ICQ.exe»=»C:Program FilesICQ6ICQ.exe:*:Enabled:ICQ6»
«C:Program FilesFreeCall.comFreeCallFreeCall.exe»=»C:Program FilesFreeCall.comFreeCallFreeCall.exe:*:Enabled:FreeCall»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{17830fee-7856-11dd-bc5a-0019b9527b1a}]
shellAutocommand — F:sal.xls.exe
shellAutoRuncommand — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d80c5898-b64e-11dd-bcfd-0019b9527b1a}]
shellAutocommand — F:sal.xls.exe
shellAutoRuncommand — C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

======List of files/folders created in the last 1 months======

2009-01-11 04:32:02 —-D—- C:rsit
2009-01-11 04:32:02 —-D—- C:Program Filestrend micro
2009-01-11 04:19:38 —-D—- C:_OTMoveIt
2009-01-11 03:40:33 —-D—- C:Documents and SettingsuserApplication DataMalwarebytes
2009-01-11 03:40:28 —-D—- C:Program FilesMalwarebytes’ Anti-Malware
2009-01-11 03:40:28 —-D—- C:Documents and SettingsAll UsersApplication DataMalwarebytes
2009-01-11 03:31:11 —-D—- C:WINDOWSsystem32restore
2009-01-11 03:31:11 —-D—- C:Program Filesxerox
2009-01-11 03:31:10 —-D—- C:WINDOWSsystem32xircom
2009-01-11 03:31:10 —-D—- C:WINDOWSmsagent
2009-01-11 03:31:10 —-D—- C:Program Filesnetmeeting
2009-01-11 03:31:10 —-D—- C:Program Filesmsn gaming zone
2009-01-11 03:31:09 —-D—- C:Program Filesmicrosoft frontpage
2009-01-11 03:27:57 —-A—- C:Boot.bak
2009-01-11 03:27:52 —-RASHD—- C:cmdcons
2009-01-11 03:27:14 —-A—- C:WINDOWSzip.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSVFIND.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSSWXCACLS.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSSWSC.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSSWREG.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSsed.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSNIRCMD.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSgrep.exe
2009-01-11 03:27:14 —-A—- C:WINDOWSfdsv.exe
2009-01-11 03:27:09 —-D—- C:WINDOWSERDNT
2009-01-11 03:27:09 —-D—- C:Qoobox
2009-01-11 03:27:09 —-D—- C:ComboFix
2009-01-11 03:27:08 —-A—- C:WINDOWSsystem32CF29386.exe
2009-01-11 03:14:07 —-A—- C:logit.txt
2009-01-10 23:46:45 —-A—- C:Documents and SettingsuserApplication Databpfeed.dll
2009-01-08 18:12:41 —-D—- C:Documents and SettingsuserApplication DataFreeCall
2009-01-08 18:09:54 —-D—- C:Program FilesFreeCall.com
2009-01-03 17:08:05 —-D—- C:Program FilesMSECache
2008-12-28 22:38:24 —-D—- C:Program FilesMicrosoft Silverlight

======List of files/folders modified in the last 1 months======

2009-01-11 21:44:24 —-D—- C:Documents and SettingsuserApplication DataQIP.Online
2009-01-11 21:44:07 —-D—- C:Program FilesMozilla Firefox
2009-01-11 21:43:57 —-D—- C:WINDOWSTemp
2009-01-11 21:43:40 —-D—- C:Documents and SettingsuserApplication DataskypePM
2009-01-11 21:42:32 —-D—- C:WINDOWS
2009-01-11 17:40:16 —-A—- C:WINDOWSSchedLgU.Txt
2009-01-11 04:51:39 —-D—- C:Downloads
2009-01-11 04:32:02 —-RD—- C:Program Files
2009-01-11 03:40:32 —-D—- C:WINDOWSsystem32drivers
2009-01-11 03:35:58 —-D—- C:WINDOWSsystem32
2009-01-11 03:35:58 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2009-01-11 03:31:11 —-D—- C:WINDOWSsystem32wbem
2009-01-11 03:31:11 —-D—- C:WINDOWSPCHEALTH
2009-01-11 03:31:11 —-D—- C:WINDOWSime
2009-01-11 03:31:11 —-D—- C:Program FilesWindows NT
2009-01-11 03:28:45 —-D—- C:WINDOWSAppPatch
2009-01-11 03:28:45 —-D—- C:Program FilesCommon Files
2009-01-11 03:27:57 —-RASH—- C:boot.ini
2009-01-08 19:24:13 —-D—- C:Documents and SettingsuserApplication DataSkype
2009-01-07 21:48:09 —-D—- C:Documents and SettingsAll UsersApplication DataAdobe
2009-01-07 21:47:59 —-D—- C:Documents and SettingsuserApplication DataAdobe
2009-01-07 00:08:04 —-D—- C:Program Filescitysvyaz
2009-01-06 22:52:55 —-D—- C:WINDOWSsystem32CatRoot2
2009-01-03 17:09:10 —-SD—- C:Documents and SettingsuserApplication DataMicrosoft
2009-01-03 17:08:31 —-SHD—- C:WINDOWSInstaller
2009-01-03 17:08:31 —-HD—- C:Config.Msi
2009-01-03 17:08:26 —-D—- C:WINDOWSWinSxS
2009-01-03 17:08:21 —-D—- C:Program FilesMicrosoft Office
2009-01-03 17:08:19 —-D—- C:Program FilesCommon FilesMicrosoft Shared
2008-12-28 22:40:35 —-D—- C:Program FilesRambler Assistant
2008-12-27 00:34:57 —-D—- C:Documents and SettingsuserApplication DataMra
2008-12-21 15:07:06 —-D—- C:WINDOWSsystem32config

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 Aavmker4;avast! Asynchronous Virus Monitor; C:WINDOWSsystem32driversAavmker4.sys [2008-11-26 26944]
R1 AmdK8;AMD Processor Driver; C:WINDOWSsystem32DRIVERSAmdK8.sys [2006-07-01 36864]
R1 aswSP;avast! Self Protection; C:WINDOWSsystem32driversaswSP.sys [2008-11-26 111184]
R1 aswTdi;avast! Network Shield Support; C:WINDOWSsystem32driversaswTdi.sys [2008-11-26 50864]
R1 prio;prio driver; ??C:WINDOWSsystem32driversprio.sys []
R1 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:WINDOWSsystem32DRIVERSwmiacpi.sys [2004-08-04 8832]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B}; ??C:Program FilesCyberLinkPowerDVD00.fcl []
R2 aswFsBlk;aswFsBlk; C:WINDOWSsystem32DRIVERSaswFsBlk.sys [2008-11-26 20560]
R2 aswMon2;avast! Standard Shield Support; C:WINDOWSsystem32driversaswMon2.sys [2008-11-26 94032]
R2 mdmxsdk;mdmxsdk; C:WINDOWSsystem32DRIVERSmdmxsdk.sys [2005-10-04 12544]
R2 rimmptsk;rimmptsk; C:WINDOWSsystem32DRIVERSrimmptsk.sys [2006-11-15 32256]
R2 rspndr;Link-Layer Topology Discovery Responder; C:WINDOWSsystem32DRIVERSrspndr.sys [2007-12-30 62336]
R3 aswRdr;aswRdr; C:WINDOWSsystem32driversaswRdr.sys [2008-11-26 23152]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2008-05-12 3007488]
R3 bcm4sbxp;Broadcom 440x 10/100 Integrated Controller XP Driver; C:WINDOWSsystem32DRIVERSbcm4sbxp.sys [2006-11-21 45568]
R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:WINDOWSsystem32DRIVERSCmBatt.sys [2004-08-04 14080]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2007-12-30 138752]
R3 HSF_DPV;HSF_DPV; C:WINDOWSsystem32DRIVERSHSX_DPV.sys [2005-12-01 936960]
R3 HSXHWAZL;HSXHWAZL; C:WINDOWSsystem32DRIVERSHSXHWAZL.sys [2005-12-01 192512]
R3 sdbus;sdbus; C:WINDOWSsystem32DRIVERSsdbus.sys [2007-08-03 78720]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:WINDOWSsystem32driverssthda.sys [2007-05-10 1222840]
R3 SynTP;Synaptics TouchPad Driver; C:WINDOWSsystem32DRIVERSSynTP.sys [2006-03-08 191872]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:WINDOWSsystem32DRIVERSusbehci.sys [2007-02-09 30208]
R3 usbhub;USB2 Enabled Hub; C:WINDOWSsystem32DRIVERSusbhub.sys [2007-07-19 59392]
R3 usbohci;Microsoft USB Open Host Controller Miniport Driver; C:WINDOWSsystem32DRIVERSusbohci.sys [2007-02-09 17152]
R3 winachsf;winachsf; C:WINDOWSsystem32DRIVERSHSX_CNXT.sys [2005-12-01 669696]
S3 HidUsb;Microsoft HID Class Driver; C:WINDOWSsystem32DRIVERShidusb.sys [2001-08-17 9600]
S3 mouhid;Mouse HID Driver; C:WINDOWSsystem32DRIVERSmouhid.sys [2001-08-17 12160]
S3 UIUSys;Conexant Setup API; C:WINDOWSsystem32DRIVERSUIUSYS.SYS []
S3 usbprint;Microsoft USB PRINTER Class; C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 usbscan;USB Scanner Driver; C:WINDOWSsystem32DRIVERSusbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB Mass Storage Driver; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-04 26496]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2007-12-30 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2007-12-30 82944]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 Plu2160;Plu2160; C:WINDOWSsystem32driversPlu2160.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 aswUpdSv;avast! iAVS4 Control Service; C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe [2008-11-26 18752]
R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2008-05-12 540672]
R2 avast! Antivirus;avast! Antivirus; C:Program FilesAlwil SoftwareAvast4ashServ.exe [2008-11-26 155160]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE [2003-06-20 322120]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:Program FilesCyberLinkShared filesRichVideo.exe [2007-02-07 173616]
R2 sprtsvc_dellsupportcenter;SupportSoft Sprocket Service (dellsupportcenter); C:Program FilesDell Support Centerbinsprtsvc.exe [2008-08-13 201968]
R3 avast! Mail Scanner;avast! Mail Scanner; C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe [2008-11-26 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:Program FilesAlwil SoftwareAvast4ashWebSv.exe [2008-11-26 352920]
S2 ATI Smart;ATI Smart; C:WINDOWSsystem32ati2sgag.exe [2008-05-12 593920]
S3 Adobe LM Service;Adobe LM Service; C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe [2008-06-04 68096]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; c:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:WINDOWSMicrosoft.NetFrameworkv3.0WPFPresentationFontCache.exe [2007-10-09 36864]
S3 gusvc;Google Updater Service; C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe [2008-09-25 138168]
S3 idsvc;Windows CardSpace; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication Foundationinfocard.exe [2007-10-11 864256]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media PlayerWMPNetwk.exe [2006-10-18 913408]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2004-08-04 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; c:WINDOWSMicrosoft.NETFrameworkv3.0Windows Communication FoundationSMSvcHost.exe [2007-10-11 122880]

EOF

Сделано)
12 января, 2009 в 4:53 пп #21008
Admin
Keymaster
- Темы:40
- Сообщений:5676
Разберёмся с начала с autorun.inf трояном которым, кроме описанного вами информера, заражён ваш компьютер.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.

Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите программу и в большое поле ввода (заголовок этого поля выделено желтым цветом) скопируйте следующий текст.
```
:Processes

explorer.exe



:reg

[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9D64F819-9380-8473-DAB2-702FCB3D7A3E}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{17830fee-7856-11dd-bc5a-0019b9527b1a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d80c5898-b64e-11dd-bcfd-0019b9527b1a}]



:files

C:Documents and SettingsuserApplication Databpfeed.dll



:Commands

[emptytemp]

[start explorer]

[Reboot]
```
Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог, вставьте его в ваш ответ.
Кроме этого в ваш ответ вставьте свежий Combofix лог (судя по RSIT логу вы имеете уже эту программу).
12 января, 2009 в 8:37 пп #21009
Аноним
Гость
- Темы:532
- Сообщений:1553
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{9D64F819-9380-8473-DAB2-702FCB3D7A3E}\ not found.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{17830fee-7856-11dd-bc5a-0019b9527b1a}\ not found.
Registry key HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d80c5898-b64e-11dd-bcfd-0019b9527b1a}\ not found.
========== FILES ==========
File/Folder C:Documents and SettingsuserApplication Databpfeed.dll not found.
========== COMMANDS ==========
File delete failed. C:DOCUME~1userLOCALS~1Tempetilqs_vTOd9O65J8yStt7piuac scheduled to be deleted on reboot.
File delete failed. C:DOCUME~1userLOCALS~1Temphpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:DOCUME~1userLOCALS~1TempPerflib_Perfdata_f78.dat scheduled to be deleted on reboot.
File delete failed. C:DOCUME~1userLOCALS~1Temp~DF6852.tmp scheduled to be deleted on reboot.
File delete failed. C:DOCUME~1userLOCALS~1Temp~DF934A.tmp scheduled to be deleted on reboot.
File delete failed. C:DOCUME~1userLOCALS~1Temp~DFA4F0.tmp scheduled to be deleted on reboot.
User’s Temp folder emptied.
User’s Temporary Internet Files folder emptied.
User’s Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:WINDOWStemp_avast4_Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:WINDOWStempPerflib_Perfdata_664.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaulturlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer — Version 1.0.8.0 log created on 01132009_012615

Files moved on Reboot…
File C:DOCUME~1userLOCALS~1Tempetilqs_vTOd9O65J8yStt7piuac not found!
File C:DOCUME~1userLOCALS~1Temphpodvd09.log not found!
File C:DOCUME~1userLOCALS~1TempPerflib_Perfdata_f78.dat not found!
File C:DOCUME~1userLOCALS~1Temp~DF6852.tmp not found!
File C:DOCUME~1userLOCALS~1Temp~DF934A.tmp not found!
File C:DOCUME~1userLOCALS~1Temp~DFA4F0.tmp not found!
File move failed. C:Documents and SettingsLocalServiceLocal SettingsTemporary Internet FilesContent.IE5index.dat scheduled to be moved on reboot.
File move failed. C:WINDOWStemp_avast4_Webshlock.txt scheduled to be moved on reboot.
File C:WINDOWStempPerflib_Perfdata_664.dat not found!
C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_001_ moved successfully.
C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_002_ moved successfully.
C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_003_ moved successfully.
C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaultCache_CACHE_MAP_ moved successfully.
C:Documents and SettingsuserLocal SettingsApplication DataMozillaFirefoxProfiles4xrq24xz.defaulturlclassifier3.sqlite moved successfully.

ComboFix 09-01-11.04 — user 2009-01-13 1:20:06.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.894.402 [GMT 5:00]
Running from: c:downloadsComboFix.exe
Command switches used :: c:documents and settingsuserDesktopWindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem32java2.sys c:windowssystem32snjava.dll
.
—- Previous Run

.
c:windowsIE4 Error Log.txt
c:windowssystem32msrdo20.dll
c:windowssystem32rdocurs.dll

.
((((((((((((((((((((((((( Files Created from 2008-12-12 to 2009-01-12 )))))))))))))))))))))))))))))))
.

2009-01-11 04:32 . 2009-01-11 04:32
d

C:rsit
2009-01-11 04:32 . 2009-01-11 21:50 d

c:program filestrend micro
2009-01-11 04:19 . 2009-01-11 04:19 d

C:_OTMoveIt
2009-01-11 03:40 . 2009-01-11 03:40 d

c:program filesMalwarebytes’ Anti-Malware
2009-01-11 03:40 . 2009-01-11 03:40 d

c:documents and settingsuserApplication DataMalwarebytes
2009-01-11 03:40 . 2009-01-11 03:40 d

c:documents and settingsAll UsersApplication DataMalwarebytes
2009-01-11 03:40 . 2009-01-04 18:41 38,496 —a

c:windowssystem32driversmbamswissarmy.sys
2009-01-11 03:40 . 2009-01-04 18:41 15,504 —a

c:windowssystem32driversmbam.sys
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowssystem32xircom
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowssystem32restore
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowsmsagent
2009-01-11 03:31 . 2009-01-11 03:31 d

c:program filesmicrosoft frontpage
2009-01-08 18:12 . 2009-01-08 18:14 d

c:documents and settingsuserApplication DataFreeCall
2009-01-08 18:09 . 2009-01-08 18:09 d

c:program filesFreeCall.com
2009-01-03 17:08 . 2009-01-03 17:08 d

c:program filesMSECache
2008-12-28 22:38 . 2008-12-28 22:38 d

c:program filesMicrosoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-12 20:13

d

w c:documents and settingsuserApplication DataQIP.Online
2009-01-12 20:05

d

w c:documents and settingsuserApplication DataskypePM
2009-01-08 14:24

d

w c:documents and settingsuserApplication DataSkype
2009-01-06 19:08

d

w c:program filescitysvyaz
2008-12-28 17:40

d

w c:program filesRambler Assistant
2008-12-26 19:34

d

w c:documents and settingsuserApplication DataMra
2008-12-10 16:48

d

w c:program filesSkype
2008-12-10 16:48

d

w c:program filesCommon FilesSkype
2008-12-10 16:48

d

w c:documents and settingsAll UsersApplication DataSkype
2008-12-09 19:43

d

w c:program filesQIP.Online
2008-12-09 19:38

d

w c:documents and settingsuserApplication DataQIP
2008-12-09 19:37

d

w c:program filesQIP Infium
2008-11-23 21:26

d

w c:documents and settingsuserApplication DataICQ
2008-11-16 14:45

d

w c:documents and settingsAll UsersApplication DataHP Product Assistant
2008-06-04 17:14 86 —-a-w c:windowssystem32configsystemprofileDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsuserDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsDefault UserDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsAdministratorDel712.bat
2008-06-04 17:13 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
2008-06-04 17:13 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2008-06-04 17:13 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

Sigcheck

2007-12-30 19:42 578048 7aa4f6c00405dfc4b70ed4214e7d687b c:windowssystem32user32.dll

2007-12-30 19:45 825344 0e5d918f87efa7d2424d66b499c7eb04 c:windowssystem32wininet.dll

2007-12-30 19:46 360704 f0fe2fcd1632ad924d4c268e0dab5959 c:windowssystem32driverstcpip.sys

2007-12-30 19:53 2062336 5cf9911d32a07860dab935adf265b8a9 c:windowssystem32ntkrnlpa.exe

2007-12-30 19:42 2185472 9a8f4f15f3a85f2b67525425f24df7f6 c:windowssystem32ntoskrnl.exe

2007-12-30 19:38 1033216 7712df0cdde3a5ac89843e61cd5b3658 c:windowsexplorer.exe

2007-12-30 19:42 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:windowssystem32spoolsv.exe

2007-12-30 19:42 295424 c33e6f5fd9209f4543b5c0d37ceb742c c:windowssystem32termsrv.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{83821C2B-32A8-4DD7-B6D4-44309A78E668}»= «c:program filesMail.RuAgentMradllnewmrasearch.dll» [2009-01-07 46584]

[HKEY_CLASSES_ROOTclsid{83821c2b-32a8-4dd7-b6d4-44309a78e668}]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-04 15360]
«swg»=»c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe» [2008-10-10 68856]
«QIP.Online»=»c:program filesQIP.Onlineqiponline.exe» [2008-11-26 3454976]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-11-07 21633320]
«FreeCall»=»c:program filesFreeCall.comFreeCallFreeCall.exe» [2008-09-01 9109296]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SigmatelSysTrayApp»=»c:program filesSigmaTelC-Major AudioWDMstsystra.exe» [2007-05-10 405504]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-26 81000]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-01-21 61440]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2006-03-08 761947]
«DellSupportCenter»=»c:program filesDell Support Centerbinsprtcmd.exe» [2008-08-13 206064]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-01-07 5598392]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2007-02-07 71216]
«LanguageShortcut»=»c:program filesCyberLinkPowerDVDLanguageLanguage.exe» [2007-02-07 54832]
«SMSTray»=»c:program filesSamsungEmoDioSMSTray.exe» [2008-06-23 479232]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2007-05-08 54840]
«dscactivate»=»c:program filesDell Support Centergs_agentcustomdsca.exe» [2008-03-11 16384]
«citysvyaz»=»c:program filescitysvyazcitysvyaz.exe» [2008-10-28 2076672]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
«WIAWizardMenu»=»c:windowssystem32sti_ci.dll» [2004-08-04 136704]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-04 15360]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«nltide_3″=»advpack.dll» [2007-12-30 c:windowssystem32advpack.dll]

c:documents and settingsAll UsersStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2005-05-11 282624]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerShellExecuteHooks]
«{88485281-8b4b-4f8d-9ede-82e29a064277}»= «c:progra~1MarkAnyCONTEN~1MACSMA~1.DLL» [2004-11-23 192512]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=prio.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= msaud32_divx.acm

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\FlashGet\flashget.exe»=
«c:\Program Files\ICQ6\ICQ.exe»=
«c:\Program Files\FreeCall.com\FreeCall\FreeCall.exe»=

R0 atiide;atiide;c:windowssystem32driversatiide.sys [2008-06-04 3456]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-06-08 111184]
R1 prio;prio driver;c:windowssystem32driversprio.sys [2005-11-28 29184]
R4 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:program filesCyberLinkPowerDVD000.fcl [2006-11-02 15:51:58 13560]
R4 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-06-08 20560]
S4 Plu2160;Plu2160; [x]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{dabc8bbf-9b76-11dd-bca8-0019b9527b1a}]
shellexploreCommand — boot.exe
shellopenCommand — boot.exe
.
— — — — ORPHANS REMOVED — — — —

HKLM-Run-RocketDock — c:program filesRocketDockRocketDock.exe

.

Supplementary Scan

.
uStart Page = hxxp://www.yandex.ru/
uDefault_Search_URL = hxxp://search.qip.ru
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: &Highlight — c:windowsWEBhighlight.htm
IE: &Links List — c:windowsWEBurllist.htm
IE: &Web Search — c:windowsWEBselsearch.htm
IE: &Закачать все при помощи FlashGet — c:program filesFlashGetjc_all.htm
IE: &Закачать при помощи FlashGet — c:program filesFlashGetjc_link.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
IE: Open Frame in &New Window — c:windowsWEBfrm2new.htm
IE: Zoom &In — c:windowsWEBzoomin.htm
IE: Zoom O&ut — c:windowsWEBzoomout.htm
IE: Добавить в Rambler-Закладки — c:program filesRambler AssistantramblertoolbarU1.dll/zakladki.htm
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU1.dll/search.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU1.dll/dic.htm
IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/282
IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/283
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
TCP: {9A9A03F4-D68A-4659-9150-200B579A10DC} = 212.33.225.211 212.33.224.131
TCP: {C7D304A0-AA78-4B7D-A1C9-4CBB7D8A9906} = 212.120.160.139,212.120.160.130
FF — ProfilePath — c:documents and settingsuserApplication DataMozillaFirefoxProfiles4xrq24xz.default
FF — prefs.js: browser.search.selectedEngine — QIP Search
FF — prefs.js: browser.startup.homepage — hxxp://www.yandex.ru/?clid=40795
FF — component: c:program filesMozilla Firefoxextensions{B13721C7-F507-4982-B2E5-502A71474FED}componentsNPComponent.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 01:29:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001Services{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
«ImagePath»=»??c:program filesCyberLinkPowerDVD000.fcl»
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(728)
c:windowssystem32Ati2evxx.dll
.

Other Running Processes

.
c:windowssystem32ati2evxx.exe
c:windowssystem32ati2evxx.exe
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:program filesAlwil SoftwareAvast4ashServ.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesCyberLinkShared filesRichVideo.exe
c:program filesDell Support Centerbinsprtsvc.exe
c:program filesAlwil SoftwareAvast4ashMaiSv.exe
c:program filesAlwil SoftwareAvast4ashWebSv.exe
c:windowsNOTEPAD.EXE
c:program filesATI TechnologiesATI.ACECore-StaticMOM.exe
c:program filesHPDigital Imagingbinhpqste08.exe
c:program filescitysvyazCitySvyazClient.exe
c:program filesSkypePlugin ManagerskypePM.exe
c:program filesMozilla Firefoxfirefox.exe
c:program filesATI TechnologiesATI.ACECore-StaticCCC.exe
.
**************************************************************************
.
Completion time: 2009-01-13 1:34:07 — machine was rebooted [user]
ComboFix-quarantined-files.txt 2009-01-12 20:34:04

Pre-Run: 8,760,397,824 bytes free
Post-Run: 8,751,067,136 байт свободно

211
:)и это сделано)
13 января, 2009 в 6:16 пп #21013
Admin
Keymaster
- Темы:40
- Сообщений:5676
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Driver::

Plu2160



Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{dabc8bbf-9b76-11dd-bca8-0019b9527b1a}]
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Так же сообщите как работает компьютер. Есть ли проблемы с информером.
13 января, 2009 в 6:40 пп #21010
Аноним
Гость
- Темы:532
- Сообщений:1553
ComboFix 09-01-11.04 — user 2009-01-13 23:29:26.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1033.18.894.231 [GMT 5:00]
Running from: c:downloadsComboFix.exe
Command switches used :: c:documents and settingsuserDesktopCFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

Service_Plu2160

((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-11 04:32 . 2009-01-11 04:32
d

C:rsit
2009-01-11 04:32 . 2009-01-11 21:50 d

c:program filestrend micro
2009-01-11 04:19 . 2009-01-11 04:19 d

C:_OTMoveIt
2009-01-11 03:40 . 2009-01-11 03:40 d

c:program filesMalwarebytes’ Anti-Malware
2009-01-11 03:40 . 2009-01-11 03:40 d

c:documents and settingsuserApplication DataMalwarebytes
2009-01-11 03:40 . 2009-01-11 03:40 d

c:documents and settingsAll UsersApplication DataMalwarebytes
2009-01-11 03:40 . 2009-01-04 18:41 38,496 —a

c:windowssystem32driversmbamswissarmy.sys
2009-01-11 03:40 . 2009-01-04 18:41 15,504 —a

c:windowssystem32driversmbam.sys
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowssystem32xircom
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowssystem32restore
2009-01-11 03:31 . 2009-01-11 03:31 d

c:windowsmsagent
2009-01-11 03:31 . 2009-01-11 03:31 d

c:program filesmicrosoft frontpage
2009-01-08 18:12 . 2009-01-08 18:14 d

c:documents and settingsuserApplication DataFreeCall
2009-01-08 18:09 . 2009-01-08 18:09 d

c:program filesFreeCall.com
2009-01-03 17:08 . 2009-01-03 17:08 d

c:program filesMSECache
2008-12-28 22:38 . 2008-12-28 22:38 d

c:program filesMicrosoft Silverlight

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 18:26

d

w c:documents and settingsuserApplication DataQIP.Online
2009-01-13 11:21

d

w c:documents and settingsuserApplication DataskypePM
2009-01-08 14:24

d

w c:documents and settingsuserApplication DataSkype
2009-01-06 19:08

d

w c:program filescitysvyaz
2008-12-28 17:40

d

w c:program filesRambler Assistant
2008-12-26 19:34

d

w c:documents and settingsuserApplication DataMra
2008-12-10 16:48

d

w c:program filesSkype
2008-12-10 16:48

d

w c:program filesCommon FilesSkype
2008-12-10 16:48

d

w c:documents and settingsAll UsersApplication DataSkype
2008-12-09 19:43

d

w c:program filesQIP.Online
2008-12-09 19:38

d

w c:documents and settingsuserApplication DataQIP
2008-12-09 19:37

d

w c:program filesQIP Infium
2008-11-23 21:26

d

w c:documents and settingsuserApplication DataICQ
2008-11-16 14:45

d

w c:documents and settingsAll UsersApplication DataHP Product Assistant
2008-06-04 17:14 86 —-a-w c:windowssystem32configsystemprofileDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsuserDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsDefault UserDel712.bat
2008-06-04 17:14 86 —-a-w c:documents and settingsAdministratorDel712.bat
2008-06-04 17:13 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
2008-06-04 17:13 16,384 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2008-06-04 17:13 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

Sigcheck

2007-12-30 19:42 578048 7aa4f6c00405dfc4b70ed4214e7d687b c:windowssystem32user32.dll

2007-12-30 19:45 825344 0e5d918f87efa7d2424d66b499c7eb04 c:windowssystem32wininet.dll

2007-12-30 19:46 360704 f0fe2fcd1632ad924d4c268e0dab5959 c:windowssystem32driverstcpip.sys

2007-12-30 19:53 2062336 5cf9911d32a07860dab935adf265b8a9 c:windowssystem32ntkrnlpa.exe

2007-12-30 19:42 2185472 9a8f4f15f3a85f2b67525425f24df7f6 c:windowssystem32ntoskrnl.exe

2007-12-30 19:38 1033216 7712df0cdde3a5ac89843e61cd5b3658 c:windowsexplorer.exe

2007-12-30 19:42 57856 ad3d9d191aea7b5445fe1d82ffbb4788 c:windowssystem32spoolsv.exe

2007-12-30 19:42 295424 c33e6f5fd9209f4543b5c0d37ceb742c c:windowssystem32termsrv.dll
.
((((((((((((((((((((((((((((( snapshot@2009-01-13_ 1.33.25.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 15:02:28 163,328 —-a-w c:windowsERDNTsubsERDNT.EXE
— 2009-01-12 20:29:00 1,624,384 —-a-w c:windowssystem32FNTCACHE.DAT
+ 2009-01-13 10:09:38 1,624,384 —-a-w c:windowssystem32FNTCACHE.DAT
+ 2009-01-13 18:32:29 16,384 —-atw c:windowsTempPerflib_Perfdata_668.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{83821C2B-32A8-4DD7-B6D4-44309A78E668}»= «c:program filesMail.RuAgentMradllnewmrasearch.dll» [2009-01-07 46584]

[HKEY_CLASSES_ROOTclsid{83821c2b-32a8-4dd7-b6d4-44309a78e668}]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-04 15360]
«swg»=»c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe» [2008-10-10 68856]
«QIP.Online»=»c:program filesQIP.Onlineqiponline.exe» [2008-11-26 3454976]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-11-07 21633320]
«FreeCall»=»c:program filesFreeCall.comFreeCallFreeCall.exe» [2008-09-01 9109296]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SigmatelSysTrayApp»=»c:program filesSigmaTelC-Major AudioWDMstsystra.exe» [2007-05-10 405504]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-26 81000]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-01-21 61440]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2006-03-08 761947]
«DellSupportCenter»=»c:program filesDell Support Centerbinsprtcmd.exe» [2008-08-13 206064]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-01-07 5598392]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2007-02-07 71216]
«LanguageShortcut»=»c:program filesCyberLinkPowerDVDLanguageLanguage.exe» [2007-02-07 54832]
«SMSTray»=»c:program filesSamsungEmoDioSMSTray.exe» [2008-06-23 479232]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2007-05-08 54840]
«dscactivate»=»c:program filesDell Support Centergs_agentcustomdsca.exe» [2008-03-11 16384]
«citysvyaz»=»c:program filescitysvyazcitysvyaz.exe» [2008-10-28 2076672]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
«WIAWizardMenu»=»c:windowssystem32sti_ci.dll» [2004-08-04 136704]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-04 15360]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«nltide_3″=»advpack.dll» [2007-12-30 c:windowssystem32advpack.dll]

c:documents and settingsAll UsersStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2005-05-11 282624]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMHelp»= 1 (0x1)
«ForceClassicControlPanel»= 1 (0x1)
«NoResolveTrack»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerShellExecuteHooks]
«{88485281-8b4b-4f8d-9ede-82e29a064277}»= «c:progra~1MarkAnyCONTEN~1MACSMA~1.DLL» [2004-11-23 192512]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=prio.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.divxa32″= msaud32_divx.acm

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\FlashGet\flashget.exe»=
«c:\Program Files\ICQ6\ICQ.exe»=
«c:\Program Files\FreeCall.com\FreeCall\FreeCall.exe»=

R0 atiide;atiide;c:windowssystem32driversatiide.sys [2008-06-04 3456]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-06-08 111184]
R1 prio;prio driver;c:windowssystem32driversprio.sys [2005-11-28 29184]
R4 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:program filesCyberLinkPowerDVD000.fcl [2006-11-02 15:51:58 13560]
R4 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-06-08 20560]
.
.

Supplementary Scan

.
uStart Page = hxxp://www.yandex.ru/
uDefault_Search_URL = hxxp://search.qip.ru
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: &Highlight — c:windowsWEBhighlight.htm
IE: &Links List — c:windowsWEBurllist.htm
IE: &Web Search — c:windowsWEBselsearch.htm
IE: &Закачать все при помощи FlashGet — c:program filesFlashGetjc_all.htm
IE: &Закачать при помощи FlashGet — c:program filesFlashGetjc_link.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
IE: Open Frame in &New Window — c:windowsWEBfrm2new.htm
IE: Zoom &In — c:windowsWEBzoomin.htm
IE: Zoom O&ut — c:windowsWEBzoomout.htm
IE: Добавить в Rambler-Закладки — c:program filesRambler AssistantramblertoolbarU1.dll/zakladki.htm
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU1.dll/search.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU1.dll/dic.htm
IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/282
IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/283
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
TCP: {9A9A03F4-D68A-4659-9150-200B579A10DC} = 212.33.225.211 212.33.224.131
TCP: {C7D304A0-AA78-4B7D-A1C9-4CBB7D8A9906} = 212.120.160.139,212.120.160.130
FF — ProfilePath — c:documents and settingsuserApplication DataMozillaFirefoxProfiles4xrq24xz.default
FF — prefs.js: browser.search.selectedEngine — QIP Search
FF — prefs.js: browser.startup.homepage — hxxp://www.yandex.ru/?clid=40795
FF — component: c:program filesMozilla Firefoxextensions{B13721C7-F507-4982-B2E5-502A71474FED}componentsNPComponent.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 23:33:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001Services{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
«ImagePath»=»??c:program filesCyberLinkPowerDVD000.fcl»
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(724)
c:windowssystem32Ati2evxx.dll
.

Other Running Processes

.
c:windowssystem32ati2evxx.exe
c:windowssystem32ati2evxx.exe
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:program filesAlwil SoftwareAvast4ashServ.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesCyberLinkShared filesRichVideo.exe
c:program filesDell Support Centerbinsprtsvc.exe
c:program filesAlwil SoftwareAvast4ashMaiSv.exe
c:program filesAlwil SoftwareAvast4ashWebSv.exe
c:program filesATI TechnologiesATI.ACECore-StaticMOM.exe
c:program filescitysvyazCitySvyazClient.exe
c:program filesHPDigital Imagingbinhpqste08.exe
c:program filesATI TechnologiesATI.ACECore-StaticCCC.exe
c:program filesSkypePlugin ManagerskypePM.exe
.
**************************************************************************
.
Completion time: 2009-01-13 23:36:49 — machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 18:36:46
ComboFix2.txt 2009-01-12 20:34:09

Pre-Run: 8 693 583 872 bytes free
Post-Run: 8,627,261,440 байт свободно

207
Информер прилип ко мне навечно, чувствую(((Всплывает при запуске браузера(((
14 января, 2009 в 11:37 дп #21012
Admin
Keymaster
- Темы:40
- Сообщений:5676
Раз проблема с информером в Firefox не решилась, то остаётся последний вариант.
Удалите Firefox через панель Добавления/Удаления программ (находится в контрольной панели).
Далее удалите папку C:Program FilesMozilla Firefox
Затем кликните Пуск, Выполните.
Наберите %appdata% и нажмите Enter.
Откроется содержимое папки Application data, удалите папку Mozilla.
Скачайте свежую версию программы Firefox и установите на компьютер.
Проверьте в работе и сообщите о результате.
14 января, 2009 в 12:23 пп #21014
Аноним
Гость
- Темы:532
- Сообщений:1553
Теперь все хорошо)Спасибо Вам огромное)Человеческое спасибо…
14 января, 2009 в 12:48 пп #21011
Admin
Keymaster
- Темы:40
- Сообщений:5676
Рад вам помочь 🙂
Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!
14 января, 2009 в 2:42 пп #21015
Аноним
Гость
- Темы:532
- Сообщений:1553
вооооооот такое бооооольшое спасибо)
Автор

Сообщения