- This topic has 1 ответ, 2 участника, and was last updated 16 years, 5 months назад by
.
-
Сообщения
-
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ComboFix 09-04-12.02 — 1 2009-04-12 17:56.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.3326.2681 [GMT 4:00]
Running from: c:documents and settings1Рабочий столComboFix.exe
Command switches used :: c:documents and settings1Рабочий столCFScript.txt
AV: Антивирус Касперского Personal *On-access scanning enabled* (Updated)
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:documents and settingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
c:program filesCommon FilesMicrosoft SharedWeb Foldersuqidqvy.dll
.((((((((((((((((((((((((( Files Created from 2009-03-12 to 2009-04-12 )))))))))))))))))))))))))))))))
.2009-04-12 10:42 . 2009-04-12 10:42
d
w c:documents and settingsAll UsersApplication DataESET
2009-04-07 13:08 . 2009-04-07 13:08
d—h—w c:windowsPIF.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-12 13:48 . 2008-12-25 15:52
d
w c:documents and settings1Application DataHPAppData
2009-04-12 12:58 . 2009-02-04 12:23
d
w c:program filesOklick
2009-04-12 12:38 . 2009-04-12 12:38 537534 —-a-w C:sysinfo.txt
2009-04-12 12:36 . 2008-12-19 18:50
d
w c:documents and settings1Application DataWinamp
2009-03-29 07:08 . 2001-10-20 14:00 78972 —-a-w c:windowssystem32perfc019.dat
2009-03-29 07:08 . 2001-10-20 14:00 472422 —-a-w c:windowssystem32perfh019.dat
2009-02-21 16:07 . 2009-02-21 16:07
d
w c:program filesAskBarDis
2009-02-21 16:07 . 2009-02-21 16:07
d
w c:program filesFoxit Software
2009-02-21 16:07 . 2009-02-21 16:07
d
w c:documents and settings1Application DataFoxit
2009-02-21 15:11 . 2009-02-21 15:11
d
w c:documents and settings1Application DataMedia Player Classic
2009-02-16 15:39 . 2009-02-16 15:27
d
w c:documents and settings1Application DataSoundSpectrum
2009-02-16 15:25 . 2009-02-16 15:25
d
w c:program filesSoundSpectrum
2009-02-16 15:25 . 2008-12-19 18:50
d
w c:program filesWinamp
2009-02-16 15:25 . 2009-02-16 15:25
d
w c:program filesCommon FilesReal
2009-02-16 10:12 . 2009-02-15 20:09 9778856 —-a-w C:WhiteCap_520.exe
2009-02-11 20:44 . 2009-02-11 20:41
d
w c:documents and settings1Application DataAzureus
2009-02-11 20:41 . 2009-02-11 20:41
d
w c:documents and settingsAll UsersApplication DataAzureus
2009-02-11 20:37 . 2009-02-11 20:37
d
w c:program filesCommon Filesi4j_jres
2009-02-11 14:50 . 2009-02-11 14:50
d
w c:program filesMSECache
2009-02-10 16:44 . 2004-08-17 14:04 219648 —-a-w c:windowssystem32uxtheme.dll
2009-02-09 14:07 . 2004-08-17 13:54 1846912 —-a-w c:windowssystem32win32k.sys
2009-02-04 14:19 . 2004-08-03 20:59 251152 —sha-r C:ntldr
2009-01-29 13:30 . 2009-01-29 13:30 50688 —-a-w c:windowssystem32wbhelp2.dll
2009-01-29 07:36 . 2008-12-19 18:15 125 —-a-w C:service.log
2009-01-29 07:35 . 2008-12-19 18:13 16608 —-a-w c:windowsgdrv.sys
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 13:58 333192 —a
c:program filesAskBarDisbarbinaskBar.dll[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3041d03e-fd4b-44e0-b742-2d9b88305f98}»= «c:program filesAskBarDisbarbinaskBar.dll» [2008-11-18 333192][HKEY_CLASSES_ROOTclsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOTTypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{3041D03E-FD4B-44E0-B742-2D9B88305F98}»= «c:program filesAskBarDisbarbinaskBar.dll» [2008-11-18 333192][HKEY_CLASSES_ROOTclsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOTTypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2008-09-11 13574144]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2007-10-14 214360][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«d:\gems\PES 2008\PES2008.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=R0 partizan;partizan; [x]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;c:documents and settings1Мои документыEVERESTkerneld.wnt [2008-09-05 23152]
S2 msvdx86;msvdx86;c:windowssystem32DRIVERSmsvdx86.aqmgu [2008-12-29 5632][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
Supplementary Scan
.
uStart Page = hxxp://www.apeha.ru
IE: &Clean Traces — c:program filesDAPPrivacy Packagedapcleanerie.htm
IE: &Download with &DAP — c:program filesDAPdapextie.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Download &all with DAP — c:program filesDAPdapextie2.htm
IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/282
IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/283
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — D:magent.exe
Name-Space Handler: ftpZDA — {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} —
Name-Space Handler: httpZDA — {5BFA1DAF-5EDC-11D2-959E-00C00C02DA5E} —
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-12 17:58
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
c:windowssystem32driversmsvdx86.aqmgu 5632 bytes executable
c:windowssystem32msvkx86.aqmgu 92160 bytes executable
c:windowssystem32msvpx86.aqmgu 2075 bytes
c:windowssystem32msvtx86.aqmgu 1024 bytes executablescan completed successfully
hidden files: 4**************************************************************************
[HKEY_LOCAL_MACHINESystemControlSet001ServicesEverestDriver]
«ImagePath»=»??c:documents and settings1Мои документыEVERESTkerneld.wnt»[HKEY_LOCAL_MACHINESystemControlSet001Servicesmsvdx86]
«ImagePath»=»system32DRIVERSmsvdx86.aqmgu»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(2708)
c:progra~1WINDOW~2wmpband.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Completion time: 2009-04-12 17:59
ComboFix-quarantined-files.txt 2009-04-12 13:59
ComboFix2.txt 2009-04-12 13:44Pre-Run: 26 745 090 048 байт свободно
Post-Run: 26,732,724,224 байт свободно133 — E O F — 2009-03-22 06:18
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Driver::
msvdx86
Registry::
[-HKEY_LOCAL_MACHINESystemControlSet001Servicesmsvdx86]
File::
c:windowssystem32driversmsvdx86.aqmguЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Для ответа в этой теме необходимо авторизоваться.
