- This topic has 9 ответов, 2 участника, and was last updated 16 years, 7 months назад by
.
-
Сообщения
-
Активируется при открытии окон IE, Мой компьютер, других папок.
В трее жёлтый значёк и подпись «System… warning!»
Если не запущен Avast!:
Самооткрывание IE «прикрытое» диалогом «Срочно просканируйте! и т.п.»
На любую реакцию перенаправление на красивый сайт с данной прогой.
При закрытии окна снова предупреждения, угрозы.
Появился давно, наверно год. Ничем не удаляется, хотя Malwarebutes и видит четыре
Trojan.Agent в реестре (ExplorerBrowser Settingsbf и др.)
Онлайн сканер Касперского не запускается (нет реакции на кнопку «принять» в соглашении), Тренд
не пойму или вешается, или очень много втихую грузит (явно более 10 мег.)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:00:39, on 03.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32Ati2evxx.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesDigital Surveillance RecorderPICO2000Alarm Caller.exe
C:Program FilesDigital Surveillance RecorderPICO2000RSTrigger.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesJavajre6binjava.exe
C:Program FilesDigital Surveillance RecorderPICO2000PlayServer.exe
C:Program FilesDigital Surveillance RecorderPICO2000DSR.exe
C:Program FilesMalwarebytes’ Anti-Malwarembam.exe
C:Program FilesOperaopera.exe
C:Program FilesTrend MicroHijackThisHijackThis.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.ya.ru/
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.ya.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.ya.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://www.ya.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://www.ya.ru/
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.ya.ru/
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.ya.ru/
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://www.ya.ru/
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
F2 — REG:system.ini: Shell=Explorer.exe
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 — BHO: (no name) — {31A71CFE-2774-4D06-9EB3-486A2F28E53D} — C:WINDOWSsystem32atipdsx.dll
O2 — BHO: Java(tm) Plug-In SSV Helper — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre6binssv.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O4 — HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «C:Program FilesAdobeReader 8.0ReaderReader_sl.exe»
O4 — HKLM..Run: [SunJavaUpdateSched] «C:Program FilesJavajre6binjusched.exe»
O4 — HKCU..Run: [Skype] «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..Run: [Uniblue RegistryBooster 2009] C:Program FilesUniblueRegistryBoosterRegistryBooster.exe /S
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘Default user’)
O4 — Startup: Pico2000.lnk = C:Program FilesDigital Surveillance RecorderPICO2000StartPico.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O10 — Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 — DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) — http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1228290638_a7f59cf7a1e4a3ee7fe03e67cae87f8c&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: avast! iAVS4 Control Service (aswUpdSv) — ALWIL Software — C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 — Service: avast! Antivirus — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 — Service: avast! Mail Scanner — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 — Service: avast! Web Scanner — ALWIL Software — C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSSystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSSystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SolidWorks Licensing Service — SolidWorks — C:Program FilesCommon FilesSolidWorks SharedServiceSolidWorksLicensing.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Telnet (TlntSvr) — Корпорация Майкрософт — C:WINDOWSSystem32tlntsvr.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSSystem32wbemwmiapsrv.exe—
End of file — 6942 bytesЗдравствуйте, добро пожаловать на Spyware-ru форум.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.Вставьте MBAM лог в ваш ответ.
Malwarebytes’ Anti-Malware 1.31
Версия базы данных: 1459
Windows 5.1.2600 Service Pack 204.12.2008 16:24:16
mbam-log-2008-12-04 (16-24-16).txtТип проверки: Быстрая
Проверено объектов: 41658
Прошло времени: 2 minute(s), 16 second(s)Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 4
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0Заражено процессов в памяти:
(Вредоносные программы не обнаружены)Заражено модулей в памяти:
(Вредоносные программы не обнаружены)Заражено ключей реестра:
(Вредоносные программы не обнаружены)Заражено значений реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsbf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsbk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsiu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Settingsmu (Trojan.Agent) -> Delete on reboot.Заражено параметров реестра:
(Вредоносные программы не обнаружены)Заражено папок:
(Вредоносные программы не обнаружены)Заражено файлов:
(Вредоносные программы не обнаружены)После перезагрузки то же.
Понятно.
Тогда обратимся к программе Combofix.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.ComboFix 08-12-06.06 — Евген 2008-12-08 2:12:30.2 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.393 [GMT 7:00]
Running from: c:documents and settingsЕвгенРабочий столЗагрузкиАнтивирусыЛечим вирусыComboFix.exeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32atipdsx.dll . . . . failed to delete
.
((((((((((((((((((((((((( Files Created from 2008-11-07 to 2008-12-07 )))))))))))))))))))))))))))))))
.2008-12-08 01:22 . 2008-12-08 01:22
d
c:program filesRadikal
2008-12-04 21:03 . 2008-12-04 21:04d
c:program filesPhun
2008-12-04 14:57 . 2008-12-04 14:57d
c:program filesATI Technologies
2008-12-03 15:34 . 2008-12-03 15:35d
c:documents and settingsЕвген.housecall6.6
2008-12-03 15:34 . 2008-12-03 15:35d
c:documents and settingsЕвген.housecall6.6
2008-12-03 15:06 . 2008-12-03 15:06d
c:windowsSun
2008-12-03 15:06 . 2008-12-03 15:06d
c:program filesJava
2008-12-03 15:06 . 2008-12-03 15:06 410,984 —a
c:windowssystem32deploytk.dll
2008-12-03 15:06 . 2008-12-03 15:06 73,728 —a
c:windowssystem32javacpl.cpl
2008-12-03 14:37 . 2008-12-04 14:47 10 —a
c:windowsWININIT.INI
2008-12-02 14:24 . 2008-12-02 14:24d
c:documents and settingsЕвгенApplication DataUniblue
2008-12-02 14:17 . 2008-12-02 14:17d—h
c:documents and settingsAll UsersApplication Data~0
2008-12-02 01:21 . 2008-12-02 01:21d
c:documents and settingsЕвгенApplication Datavlc
2008-12-02 01:21 . 2008-12-02 01:21d
c:documents and settingsЕвгенApplication Datadvdcss
2008-12-02 01:05 . 2008-12-02 01:05d
c:program filesVideoLAN
2008-12-01 09:11 . 2008-12-07 20:22 54,156 —ah
c:windowsQTFont.qfn
2008-12-01 09:11 . 2008-12-01 09:11 1,409 —a
c:windowsQTFont.for
2008-11-29 12:08 . 2008-11-29 12:08d
c:program filesuTorrent
2008-11-29 12:08 . 2008-11-29 12:08d
c:documents and settingsЕвгенApplication DatauTorrent
2008-11-26 15:37 . 2008-11-26 15:37d
c:program filesSSC Service Utility
2008-11-25 16:57 . 2008-11-25 16:57d
c:program filesProfiliV2
2008-11-23 21:14 . 2008-11-23 21:14d
c:windowssystem32Новая папка
2008-11-21 10:42 . 2008-11-21 10:54 10,677 —a
c:windowscoolkb2k.ini
2008-11-21 10:42 . 2008-11-21 10:46 2,233 —a
c:windowscoolmp3.ini
2008-11-21 10:42 . 2008-11-21 10:42 29 —a
c:windowswordpad.ini
2008-11-21 10:42 . 2008-11-21 10:54 0 —a
c:windowsCOOLSYS.INI
2008-11-21 10:41 . 2008-11-21 10:41 29 —a
c:windowswinzip32.ini
2008-11-21 10:23 . 2008-11-21 10:23d
c:program filesCool2000
2008-11-21 10:23 . 2008-11-21 10:54 5,718 —a
c:windowsCOOL.INI
2008-11-21 10:22 . 2008-11-21 10:22 129 —a
c:windowsEDITPRO.INI
2008-11-21 10:20 . 1998-04-30 14:56 129,024 —a
c:windowsUNWISE.EXE
2008-11-21 09:12 . 2008-11-21 09:12d
c:program filesDjVi
2008-11-20 20:41 . 2008-11-20 20:41d
c:program filesGoogle
2008-11-20 09:53 . 2008-11-20 09:53d
c:program filesAlwil Software
2008-11-17 22:19 . 2008-11-17 22:19d
c:program filesMSXML 4.0
2008-11-17 10:29 . 2001-09-07 12:41 290,816 —a
c:windowssystem32WINHTTP5.DLL
2008-11-17 10:29 . 2001-05-18 16:42 122,880 —a
c:windowssystem32PTZAD_DeltaDome_II_422.drv
2008-11-17 10:29 . 2001-03-05 17:37 118,784 —a
c:windowssystem32DSRSys.dll
2008-11-17 10:29 . 2001-03-05 16:38 114,688 —a
c:windowssystem32PTZPELCO_P_Version.drv
2008-11-17 10:29 . 2001-03-05 16:31 114,688 —a
c:windowssystem32PTZPELCO_D_Version.drv
2008-11-17 10:29 . 2001-03-30 12:40 114,688 —a
c:windowssystem32PTZPANASONIC_WVCS850(Conventional).drv
2008-11-17 10:29 . 2001-03-30 12:37 110,592 —a
c:windowssystem32PTZPANASONIC_WVCS850(New).drv
2008-11-17 10:29 . 2001-11-28 16:40 110,592 —a
c:windowssystem32Dsrinfo.dll
2008-11-17 10:29 . 2002-02-04 03:43 82,432 —a
c:windowssystem32msxml4r.dll
2008-11-17 10:29 . 2003-04-18 17:29 44,544 —a
c:windowssystem32msxml4a.dll
2008-11-17 09:48 . 2008-11-17 09:48d
c:windowssystem32ru-ru
2008-11-17 09:48 . 2008-10-04 00:26 6,066,176
c:windowssystem32dllcacheieframe.dll
2008-11-17 09:48 . 2007-04-17 16:32 2,455,488
c:windowssystem32dllcacheieapfltr.dat
2008-11-17 09:48 . 2007-03-08 12:12 1,060,864
c:windowssystem32dllcacheieframe.dll.mui
2008-11-17 09:48 . 2008-08-26 15:26 459,264
c:windowssystem32dllcachemsfeeds.dll
2008-11-17 09:48 . 2008-08-26 15:26 383,488
c:windowssystem32dllcacheieapfltr.dll
2008-11-17 09:48 . 2008-08-26 15:26 267,776
c:windowssystem32dllcacheiertutil.dll
2008-11-17 09:48 . 2008-08-26 15:26 63,488
c:windowssystem32dllcacheicardie.dll
2008-11-17 09:48 . 2008-08-26 15:26 52,224
c:windowssystem32dllcachemsfeedsbs.dll
2008-11-17 09:48 . 2008-08-25 15:38 13,824
c:windowssystem32dllcacheieudinit.exe
2008-11-17 09:43 . 2007-08-13 18:54 33,792 —a
c:windowssystem32dllcachecustsat.dll
2008-11-17 09:16 . 2008-11-17 09:16 118 —a
c:windowssystem32MRT.INI
2008-11-17 09:15 . 2003-02-28 18:26 139,536 —a
c:windowssystem32javaee.dll
2008-11-15 15:40 . 2008-11-15 15:40d
c:documents and settingsЕвгенDoctorWeb
2008-11-15 15:40 . 2008-11-15 15:40d
c:documents and settingsЕвгенDoctorWeb
2008-11-15 15:37 . 2008-11-15 15:38 600 —a
c:windowssess_ad556d36281077c50120cfba334daf6b
2008-11-15 15:34 . 2008-11-15 15:34d
c:program filesSmall Soft
2008-11-15 01:47 . 2008-06-15 00:59 272,512
c:windowssystem32dllcachebthport.sys
2008-11-15 01:45 . 2007-07-09 20:11 584,192
c:windowssystem32dllcacherpcrt4.dll
2008-11-15 01:43 . 2008-08-28 17:04 333,056
c:windowssystem32dllcachesrv.sys
2008-11-15 01:25 . 2008-08-14 20:47 2,182,144
c:windowssystem32dllcachentoskrnl.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,138,112
c:windowssystem32dllcachentkrnlmp.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,059,520
c:windowssystem32dllcachentkrnlpa.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,017,792
c:windowssystem32dllcachentkrpamp.exe
2008-11-15 01:03 . 2008-05-01 21:33 331,776
c:windowssystem32dllcachemsadce.dll
2008-11-15 01:02 . 2008-04-12 01:51 683,520
c:windowssystem32dllcacheinetcomm.dll
2008-11-15 00:57 . 2008-09-04 23:46 1,106,944
c:windowssystem32dllcachemsxml3.dll
2008-11-14 23:53 . 2008-10-16 00:00 332,800
c:windowssystem32dllcachenetapi32.dll
2008-11-14 23:50 . 2008-11-14 23:50d—h
c:windows$hf_mig$
2008-11-14 19:07 . 2001-01-09 08:57 299,520 —a
c:windowsuninst.exe
2008-11-14 18:38 . 2002-03-21 17:33 17,167 —a
c:windowssystem32driverscg300Au.sys
2008-11-14 18:37 . 2002-03-21 17:33 13,468 —a
c:windowssystem32driverscg300vc.sys
2008-11-14 16:43 . 2008-11-14 16:43d
c:program filesDigital Surveillance Recorder
2008-11-14 16:01 . 2008-11-14 16:01d
c:documents and settingsЕвгенApplication DataMedia Player Classic
2008-11-14 15:50 . 2008-11-14 15:50d
c:program filesK-Lite Codec Pack
2008-11-14 15:50 . 2007-11-29 23:30 3,596,288 —a
c:windowssystem32qt-dx331.dll
2008-11-14 15:50 . 2008-01-10 13:15 755,027 —a
c:windowssystem32xvidcore.dll
2008-11-14 15:50 . 2007-12-04 02:33 682,496 —a
c:windowssystem32divx.dll
2008-11-14 15:50 . 2006-09-24 16:11 389,120 —a
c:windowssystem32lameACM.acm
2008-11-14 15:50 . 2004-01-25 17:18 217,088 —a
c:windowssystem32yv12vfw.dll
2008-11-14 15:50 . 2007-09-04 17:56 164,352 —a
c:windowssystem32unrar.dll
2008-11-14 15:50 . 2008-01-10 13:16 159,839 —a
c:windowssystem32xvidvfw.dll
2008-11-14 15:50 . 2007-09-21 01:52 118,784 —a
c:windowssystem32ac3acm.acm
2008-11-14 15:50 . 2007-11-29 23:28 81,920 —a
c:windowssystem32dpl100.dll
2008-11-14 15:50 . 2007-12-24 13:49 7,680 —a
c:windowssystem32ff_vfw.dll
2008-11-14 15:50 . 2007-07-10 17:10 547 —a
c:windowssystem32ff_vfw.dll.manifest
2008-11-14 15:50 . 2007-10-03 16:03 414 —a
c:windowssystem32lame_acm.xml
2008-11-14 13:41 . 2008-11-14 13:42d
c:documents and settingsЕвгенApplication DataBIS077
2008-11-14 04:19 . 2008-11-14 04:19d
c:program filesUnivision Canada Limited
2008-11-14 04:16 . 2008-11-14 04:16d
c:program filesVIA Technologies, Inc
2008-11-14 04:16 . 2003-07-04 23:14 32,768 —a
c:windowssystem32UnAudioNT.dll
2008-11-14 03:32 . 2008-11-14 03:32d
c:documents and settingsЕвгенApplication DataskypePM
2008-11-14 03:32 . 2008-11-14 03:32 56 —ah
c:windowssystem32ezsidmv.dat
2008-11-14 03:27 . 2008-11-14 03:27d
c:documents and settingsЕвгенApplication DataSkype
2008-11-14 03:26 . 2008-11-14 03:26dr
c:program filesSkype
2008-11-14 03:26 . 2008-11-14 03:26d
c:program filesCommon FilesSkype
2008-11-14 03:26 . 2008-11-14 03:26d
c:documents and settingsAll UsersApplication DataSkype
2008-11-13 17:52 . 2008-11-13 17:52d
C:Dsr-Video
2008-11-13 17:51 . 2000-10-19 15:57 114,688 —a
c:windowssystem32PTZPELCO_SPECTRA.drv
2008-11-11 23:16 . 2008-11-11 23:16d
c:program filesOpera
2008-11-11 22:36 . 2008-11-11 22:36 0 —a
c:windowsnsreg.dat
2008-11-11 22:03 . 2008-11-11 22:03d
c:documents and settingsАдминистраторApplication DataMalwarebytes
2008-11-11 16:14 . 2008-11-11 16:14d
c:program filesTrend Micro
2008-11-11 15:58 . 2008-11-11 15:58d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-11-11 15:58 . 2008-12-03 19:52 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-11-11 15:58 . 2008-12-03 19:52 15,504 —a
c:windowssystem32driversmbam.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-07 19:04 105,216 —-a-w c:windowssystem32atipdsx.dll
2008-10-24 11:10 453,632 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-24 11:10 453,632
w c:windowssystem32dllcachemrxsmb.sys
2008-10-16 07:13 202,776 —-a-w c:windowssystem32wuweb.dll
2008-10-16 07:13 202,776 —-a-w c:windowssystem32dllcachewuweb.dll
2008-10-16 07:13 1,809,944 —-a-w c:windowssystem32wuaueng.dll
2008-10-16 07:13 1,809,944 —-a-w c:windowssystem32dllcachewuaueng.dll
2008-10-16 07:12 561,688 —-a-w c:windowssystem32wuapi.dll
2008-10-16 07:12 561,688 —-a-w c:windowssystem32dllcachewuapi.dll
2008-10-16 07:12 323,608 —-a-w c:windowssystem32wucltui.dll
2008-10-16 07:12 323,608 —-a-w c:windowssystem32dllcachewucltui.dll
2008-10-16 07:09 92,696 —-a-w c:windowssystem32dllcachecdm.dll
2008-10-16 07:09 92,696 —-a-w c:windowssystem32cdm.dll
2008-10-16 07:09 51,224 —-a-w c:windowssystem32wuauclt.exe
2008-10-16 07:09 51,224 —-a-w c:windowssystem32dllcachewuauclt.exe
2008-10-16 07:09 43,544 —-a-w c:windowssystem32wups2.dll
2008-10-16 07:08 34,328 —-a-w c:windowssystem32wups.dll
2008-10-16 07:08 34,328 —-a-w c:windowssystem32dllcachewups.dll
2008-09-30 09:43 1,286,152 —-a-w c:windowssystem32msxml4.dll
2008-09-15 15:41 1,846,144 —-a-w c:windowssystem32win32k.sys
2008-09-15 15:41 1,846,144
w c:windowssystem32dllcachewin32k.sys
2008-06-23 15:37 24,192 —-a-w c:documents and settingsЕвгенusbsermptxp.sys
2008-06-23 15:37 24,192 —-a-w c:documents and settingsЕвгенusbsermptxp.sys
2008-06-23 15:37 22,768 —-a-w c:documents and settingsЕвгенusbsermpt.sys
2008-06-23 15:37 22,768 —-a-w c:documents and settingsЕвгенusbsermpt.sys
.((((((((((((((((((((((((((((( snapshot@2008-12-08_ 2.07.56.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-07 19:15:38 16,384 —-a-w c:windowsTempPerflib_Perfdata_528.dat
+ 2008-12-07 19:15:24 16,384 —-a-w c:windowsTempPerflib_Perfdata_598.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{31A71CFE-2774-4D06-9EB3-486A2F28E53D}]
2008-12-08 02:04 105216 —a
c:windowssystem32atipdsx.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2008-11-29 270128][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-27 81000]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-10-15 39792]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2008-12-03 136600]
«Malwarebytes Anti-Malware (reboot)»=»c:program filesMalwarebytes’ Anti-Malwarembam.exe» [2008-12-03 1265296][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2008-12-06 113664][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\Program Files\THQ\Titan Quest\Titan Quest.exe»=
«c:\Program Files\Far\Far.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\Univision Canada Limited\Pico2000\DSR.exe»=
«c:\Program Files\Small Soft\MCC\mysql\bin\mysqld-nt.exe»=
«c:\Program Files\Small Soft\MCC\MCCServer\MCCmicroServ.exe»=
«c:\Program Files\Small Soft\MCC\Apache2\bin\Apache.exe»=
«c:\Program Files\Digital Surveillance Recorder\PICO2000\PlayServer.exe»=
«c:\Program Files\Digital Surveillance Recorder\PICO2000\DSR.exe»=
«c:\WINDOWS\System32\dpvsetup.exe»=
«c:\Program Files\Digital Surveillance Recorder\Remote Module\Alarm Receiver.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Opera\opera.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=R0 fychtgty;fychtgty;c:windowssystem32driverswxzmfyzt.dat []
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-11-20 111184]
R2 aswFsBlk;aswFsBlk;c:windowssystem32DRIVERSaswFsBlk.sys [2008-11-20 20560]
R2 sw848b;sw848b;c:windowssystem32driverssw848b.sys [2008-11-14 46790]
R2 sw878b;sw878b;c:windowssystem32driverssw878b.sys [2008-11-14 10148]
R3 cg300;cg300VidCap;c:windowssystem32DRIVERScg300vc.sys [2008-11-14 13468]
R3 cg300Au;cg300 Audio Capture;c:windowssystem32DRIVERScg300au.sys [2008-11-14 17167]
S3 ATE_PROCMON;ATE_PROCMON;??c:program filesAnti Trojan EliteATEPMon.sys []
S3 NtApm;Драйвер интерфейса NT Apm/Legacy;c:windowssystem32DRIVERSNtApm.sys [2008-03-17 9472]
S3 Winacusb;Winacusb;c:windowssystem32DRIVERSwinacusb.sys [2008-03-17 886240][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{057e9560-ff1d-11dc-8410-a7704c509c54}]
ShellAutoRuncommand — wscript.exe ..vbs
Shellopencommand — wscript.exe ..vbs[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{057e9561-ff1d-11dc-8410-a7704c509c54}]
ShellAutoRuncommand — wscript.exe ..vbs
Shellopencommand — wscript.exe ..vbs[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f404e90-5a21-11dc-a8de-806d6172696f}]
ShellAutocommand — D:auto.exe
ShellAutoRuncommand — c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1dea6cc0-fc00-11dc-8407-d9e42bbc9e52}]
ShellAutoRuncommand — wscript.exe ..vbs
Shellopencommand — wscript.exe ..vbs[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e1ab6700-436b-11dd-b3f9-c00ad6a83956}]
ShellAutoRuncommand — wscript.exe ..vbs
Shellopencommand — wscript.exe ..vbs*Newly Created Service* — CATCHME
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 02:15:31
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(516)
c:windowssystem32Ati2evxx.dll
.
Other Running Processes
.
c:windowsSYSTEM32ATI2EVXX.EXE
c:windowsSYSTEM32ATI2EVXX.EXE
c:program filesALWIL SOFTWAREAVAST4ASWUPDSV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHSERV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHDISP.EXE
c:program filesJAVAJRE6BINJQS.EXE
c:program filesALWIL SOFTWAREAVAST4SETUPAVAST.SETUP
c:program filesALWIL SOFTWAREAVAST4ASHMAISV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHWEBSV.EXE
.
**************************************************************************
.
Completion time: 2008-12-08 2:16:53 — machine was rebooted
ComboFix-quarantined-files.txt 2008-12-07 19:16:52
ComboFix2.txt 2008-12-07 19:08:42Pre-Run: 71 518 715 904 байт свободно
Post-Run: 71,505,281,024 байт свободно255 — E O F — 2008-11-17 15:20:01
Combofix показал, что кроме всего прочего ваш компьютер заражён autorun.inf вирусом.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.Откройте блокнот и вставьте в него следующий текст:
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{31A71CFE-2774-4D06-9EB3-486A2F28E53D}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{057e9560-ff1d-11dc-8410-a7704c509c54}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{057e9561-ff1d-11dc-8410-a7704c509c54}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0f404e90-5a21-11dc-a8de-806d6172696f}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1dea6cc0-fc00-11dc-8407-d9e42bbc9e52}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e1ab6700-436b-11dd-b3f9-c00ad6a83956}]
Driver::
fychtgty
File::
c:windowssystem32driverswxzmfyzt.dat
c:windowssystem32atipdsx.dllЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.ComboFix 08-12-07.04 — Евген 2008-12-09 20:23:14.3 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.380 [GMT 7:00]
Running from: c:documents and settingsЕвгенРабочий столComboFix.exe
Command switches used :: c:documents and settingsЕвгенРабочий столCFScript
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:windowssystem32atipdsx.dll
c:windowssystem32driverswxzmfyzt.dat
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32atipdsx.dll
c:windowssystem32driverswxzmfyzt.dat.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_FYCHTGTY
Service_fychtgty((((((((((((((((((((((((( Files Created from 2008-11-09 to 2008-12-09 )))))))))))))))))))))))))))))))
.2008-12-09 05:49 . 2008-12-09 05:49
d
c:program filesSailcut CAD
2008-12-08 13:24 . 2008-12-08 13:24d
c:documents and settingsЕвгенApplication DataWinRAR
2008-12-08 01:22 . 2008-12-08 01:22d
c:program filesRadikal
2008-12-04 21:03 . 2008-12-04 21:04d
c:program filesPhun
2008-12-04 14:57 . 2008-12-04 14:57d
c:program filesATI Technologies
2008-12-03 15:34 . 2008-12-03 15:35d
c:documents and settingsЕвген.housecall6.6
2008-12-03 15:34 . 2008-12-03 15:35d
c:documents and settingsЕвген.housecall6.6
2008-12-03 15:06 . 2008-12-03 15:06d
c:windowsSun
2008-12-03 15:06 . 2008-12-03 15:06d
c:program filesJava
2008-12-03 15:06 . 2008-12-03 15:06 410,984 —a
c:windowssystem32deploytk.dll
2008-12-03 15:06 . 2008-12-03 15:06 73,728 —a
c:windowssystem32javacpl.cpl
2008-12-03 14:49 . 2008-12-03 14:49d
c:documents and settingsЕвгенApplication DataSun
2008-12-03 14:37 . 2008-12-04 14:47 10 —a
c:windowsWININIT.INI
2008-12-02 14:24 . 2008-12-02 14:24d
c:documents and settingsЕвгенApplication DataUniblue
2008-12-02 14:17 . 2008-12-02 14:17d—h
c:documents and settingsAll UsersApplication Data~0
2008-12-02 01:21 . 2008-12-02 01:21d
c:documents and settingsЕвгенApplication Datavlc
2008-12-02 01:21 . 2008-12-02 01:21d
c:documents and settingsЕвгенApplication Datadvdcss
2008-12-02 01:05 . 2008-12-02 01:05d
c:program filesVideoLAN
2008-12-01 09:11 . 2008-12-09 11:16 54,156 —ah
c:windowsQTFont.qfn
2008-12-01 09:11 . 2008-12-01 09:11 1,409 —a
c:windowsQTFont.for
2008-11-29 12:08 . 2008-11-29 12:08d
c:program filesuTorrent
2008-11-29 12:08 . 2008-11-29 12:08d
c:documents and settingsЕвгенApplication DatauTorrent
2008-11-26 15:37 . 2008-11-26 15:37d
c:program filesSSC Service Utility
2008-11-25 16:57 . 2008-11-25 16:57d
c:program filesProfiliV2
2008-11-23 21:14 . 2008-11-23 21:14d
c:windowssystem32Новая папка
2008-11-21 10:42 . 2008-11-21 10:54 10,677 —a
c:windowscoolkb2k.ini
2008-11-21 10:42 . 2008-11-21 10:46 2,233 —a
c:windowscoolmp3.ini
2008-11-21 10:42 . 2008-11-21 10:42 29 —a
c:windowswordpad.ini
2008-11-21 10:42 . 2008-11-21 10:54 0 —a
c:windowsCOOLSYS.INI
2008-11-21 10:41 . 2008-11-21 10:41 29 —a
c:windowswinzip32.ini
2008-11-21 10:23 . 2008-11-21 10:23d
c:program filesCool2000
2008-11-21 10:23 . 2008-11-21 10:54 5,718 —a
c:windowsCOOL.INI
2008-11-21 10:22 . 2008-11-21 10:22 129 —a
c:windowsEDITPRO.INI
2008-11-21 10:20 . 1998-04-30 14:56 129,024 —a
c:windowsUNWISE.EXE
2008-11-21 09:12 . 2008-11-21 09:12d
c:program filesDjVi
2008-11-20 20:42 . 2008-11-20 20:42d
c:documents and settingsЕвгенApplication DataGoogle
2008-11-20 20:41 . 2008-11-20 20:41d
c:program filesGoogle
2008-11-20 09:53 . 2008-11-20 09:53d
c:program filesAlwil Software
2008-11-17 22:19 . 2008-11-17 22:19d
c:program filesMSXML 4.0
2008-11-17 10:29 . 2001-09-07 12:41 290,816 —a
c:windowssystem32WINHTTP5.DLL
2008-11-17 10:29 . 2001-05-18 16:42 122,880 —a
c:windowssystem32PTZAD_DeltaDome_II_422.drv
2008-11-17 10:29 . 2001-03-05 17:37 118,784 —a
c:windowssystem32DSRSys.dll
2008-11-17 10:29 . 2001-03-05 16:38 114,688 —a
c:windowssystem32PTZPELCO_P_Version.drv
2008-11-17 10:29 . 2001-03-05 16:31 114,688 —a
c:windowssystem32PTZPELCO_D_Version.drv
2008-11-17 10:29 . 2001-03-30 12:40 114,688 —a
c:windowssystem32PTZPANASONIC_WVCS850(Conventional).drv
2008-11-17 10:29 . 2001-03-30 12:37 110,592 —a
c:windowssystem32PTZPANASONIC_WVCS850(New).drv
2008-11-17 10:29 . 2001-11-28 16:40 110,592 —a
c:windowssystem32Dsrinfo.dll
2008-11-17 10:29 . 2002-02-04 03:43 82,432 —a
c:windowssystem32msxml4r.dll
2008-11-17 10:29 . 2003-04-18 17:29 44,544 —a
c:windowssystem32msxml4a.dll
2008-11-17 09:48 . 2008-11-17 09:48d
c:windowssystem32ru-ru
2008-11-17 09:48 . 2008-10-04 00:26 6,066,176
c:windowssystem32dllcacheieframe.dll
2008-11-17 09:48 . 2007-04-17 16:32 2,455,488
c:windowssystem32dllcacheieapfltr.dat
2008-11-17 09:48 . 2007-03-08 12:12 1,060,864
c:windowssystem32dllcacheieframe.dll.mui
2008-11-17 09:48 . 2008-08-26 15:26 459,264
c:windowssystem32dllcachemsfeeds.dll
2008-11-17 09:48 . 2008-08-26 15:26 383,488
c:windowssystem32dllcacheieapfltr.dll
2008-11-17 09:48 . 2008-08-26 15:26 267,776
c:windowssystem32dllcacheiertutil.dll
2008-11-17 09:48 . 2008-08-26 15:26 63,488
c:windowssystem32dllcacheicardie.dll
2008-11-17 09:48 . 2008-08-26 15:26 52,224
c:windowssystem32dllcachemsfeedsbs.dll
2008-11-17 09:48 . 2008-08-25 15:38 13,824
c:windowssystem32dllcacheieudinit.exe
2008-11-17 09:43 . 2007-08-13 18:54 33,792 —a
c:windowssystem32dllcachecustsat.dll
2008-11-17 09:16 . 2008-11-17 09:16 118 —a
c:windowssystem32MRT.INI
2008-11-17 09:15 . 2003-02-28 18:26 139,536 —a
c:windowssystem32javaee.dll
2008-11-15 15:40 . 2008-11-15 15:40d
c:documents and settingsЕвгенDoctorWeb
2008-11-15 15:40 . 2008-11-15 15:40d
c:documents and settingsЕвгенDoctorWeb
2008-11-15 15:37 . 2008-11-15 15:38 600 —a
c:windowssess_ad556d36281077c50120cfba334daf6b
2008-11-15 15:34 . 2008-11-15 15:34d
c:program filesSmall Soft
2008-11-15 01:47 . 2008-06-15 00:59 272,512
c:windowssystem32dllcachebthport.sys
2008-11-15 01:45 . 2007-07-09 20:11 584,192
c:windowssystem32dllcacherpcrt4.dll
2008-11-15 01:43 . 2008-08-28 17:04 333,056
c:windowssystem32dllcachesrv.sys
2008-11-15 01:25 . 2008-08-14 20:47 2,182,144
c:windowssystem32dllcachentoskrnl.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,138,112
c:windowssystem32dllcachentkrnlmp.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,059,520
c:windowssystem32dllcachentkrnlpa.exe
2008-11-15 01:25 . 2008-08-14 20:47 2,017,792
c:windowssystem32dllcachentkrpamp.exe
2008-11-15 01:03 . 2008-05-01 21:33 331,776
c:windowssystem32dllcachemsadce.dll
2008-11-15 01:02 . 2008-04-12 01:51 683,520
c:windowssystem32dllcacheinetcomm.dll
2008-11-15 00:57 . 2008-09-04 23:46 1,106,944
c:windowssystem32dllcachemsxml3.dll
2008-11-14 23:53 . 2008-10-16 00:00 332,800
c:windowssystem32dllcachenetapi32.dll
2008-11-14 23:50 . 2008-11-14 23:50d—h
c:windows$hf_mig$
2008-11-14 19:07 . 2001-01-09 08:57 299,520 —a
c:windowsuninst.exe
2008-11-14 18:38 . 2002-03-21 17:33 17,167 —a
c:windowssystem32driverscg300Au.sys
2008-11-14 18:37 . 2002-03-21 17:33 13,468 —a
c:windowssystem32driverscg300vc.sys
2008-11-14 16:43 . 2008-11-14 16:43d
c:program filesDigital Surveillance Recorder
2008-11-14 16:01 . 2008-11-14 16:01d
c:documents and settingsЕвгенApplication DataMedia Player Classic
2008-11-14 15:50 . 2008-11-14 15:50d
c:program filesK-Lite Codec Pack
2008-11-14 15:50 . 2007-11-29 23:30 3,596,288 —a
c:windowssystem32qt-dx331.dll
2008-11-14 15:50 . 2008-01-10 13:15 755,027 —a
c:windowssystem32xvidcore.dll
2008-11-14 15:50 . 2007-12-04 02:33 682,496 —a
c:windowssystem32divx.dll
2008-11-14 15:50 . 2006-09-24 16:11 389,120 —a
c:windowssystem32lameACM.acm
2008-11-14 15:50 . 2004-01-25 17:18 217,088 —a
c:windowssystem32yv12vfw.dll
2008-11-14 15:50 . 2007-09-04 17:56 164,352 —a
c:windowssystem32unrar.dll
2008-11-14 15:50 . 2008-01-10 13:16 159,839 —a
c:windowssystem32xvidvfw.dll
2008-11-14 15:50 . 2007-09-21 01:52 118,784 —a
c:windowssystem32ac3acm.acm
2008-11-14 15:50 . 2007-11-29 23:28 81,920 —a
c:windowssystem32dpl100.dll
2008-11-14 15:50 . 2007-12-24 13:49 7,680 —a
c:windowssystem32ff_vfw.dll
2008-11-14 15:50 . 2007-07-10 17:10 547 —a
c:windowssystem32ff_vfw.dll.manifest
2008-11-14 15:50 . 2007-10-03 16:03 414 —a
c:windowssystem32lame_acm.xml
2008-11-14 13:41 . 2008-11-14 13:42d
c:documents and settingsЕвгенApplication DataBIS077
2008-11-14 04:19 . 2008-11-14 04:19d
c:program filesUnivision Canada Limited
2008-11-14 04:16 . 2008-11-14 04:16d
c:program filesVIA Technologies, Inc
2008-11-14 04:16 . 2003-07-04 23:14 32,768 —a
c:windowssystem32UnAudioNT.dll
2008-11-14 03:32 . 2008-11-14 03:32d
c:documents and settingsЕвгенApplication DataskypePM
2008-11-14 03:32 . 2008-11-14 03:32 56 —ah
c:windowssystem32ezsidmv.dat
2008-11-14 03:27 . 2008-11-14 03:27d
c:documents and settingsЕвгенApplication DataSkype
2008-11-14 03:26 . 2008-11-14 03:26dr
c:program filesSkype
2008-11-14 03:26 . 2008-11-14 03:26d
c:program filesCommon FilesSkype
2008-11-14 03:26 . 2008-11-14 03:26d
c:documents and settingsAll UsersApplication DataSkype
2008-11-13 17:52 . 2008-11-13 17:52d
C:Dsr-Video
2008-11-13 17:51 . 2000-10-19 15:57 114,688 —a
c:windowssystem32PTZPELCO_SPECTRA.drv
2008-11-11 23:16 . 2008-11-11 23:16d
c:program filesOpera
2008-11-11 22:36 . 2008-11-11 22:36 0 —a
c:windowsnsreg.dat
2008-11-11 22:03 . 2008-11-11 22:03d
c:documents and settingsАдминистраторApplication DataMalwarebytes
2008-11-11 16:14 . 2008-11-11 16:14d
c:program filesTrend Micro
2008-11-11 15:58 . 2008-11-11 15:58d
c:documents and settingsAll UsersApplication DataMalwarebytes
2008-11-11 15:58 . 2008-12-03 19:52 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2008-11-11 15:58 . 2008-12-03 19:52 15,504 —a
c:windowssystem32driversmbam.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-24 11:10 453,632 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-24 11:10 453,632
w c:windowssystem32dllcachemrxsmb.sys
2008-10-16 07:13 202,776 —-a-w c:windowssystem32wuweb.dll
2008-10-16 07:13 202,776 —-a-w c:windowssystem32dllcachewuweb.dll
2008-10-16 07:13 1,809,944 —-a-w c:windowssystem32wuaueng.dll
2008-10-16 07:13 1,809,944 —-a-w c:windowssystem32dllcachewuaueng.dll
2008-10-16 07:12 561,688 —-a-w c:windowssystem32wuapi.dll
2008-10-16 07:12 561,688 —-a-w c:windowssystem32dllcachewuapi.dll
2008-10-16 07:12 323,608 —-a-w c:windowssystem32wucltui.dll
2008-10-16 07:12 323,608 —-a-w c:windowssystem32dllcachewucltui.dll
2008-10-16 07:09 92,696 —-a-w c:windowssystem32dllcachecdm.dll
2008-10-16 07:09 92,696 —-a-w c:windowssystem32cdm.dll
2008-10-16 07:09 51,224 —-a-w c:windowssystem32wuauclt.exe
2008-10-16 07:09 51,224 —-a-w c:windowssystem32dllcachewuauclt.exe
2008-10-16 07:09 43,544 —-a-w c:windowssystem32wups2.dll
2008-10-16 07:08 34,328 —-a-w c:windowssystem32wups.dll
2008-10-16 07:08 34,328 —-a-w c:windowssystem32dllcachewups.dll
2008-09-30 09:43 1,286,152 —-a-w c:windowssystem32msxml4.dll
2008-09-15 15:41 1,846,144 —-a-w c:windowssystem32win32k.sys
2008-09-15 15:41 1,846,144
w c:windowssystem32dllcachewin32k.sys
2008-06-23 15:37 24,192 —-a-w c:documents and settingsЕвгенusbsermptxp.sys
2008-06-23 15:37 24,192 —-a-w c:documents and settingsЕвгенusbsermptxp.sys
2008-06-23 15:37 22,768 —-a-w c:documents and settingsЕвгенusbsermpt.sys
2008-06-23 15:37 22,768 —-a-w c:documents and settingsЕвгенusbsermpt.sys
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2008-11-29 270128][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-27 81000]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-10-15 39792]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2008-12-03 136600]
«Malwarebytes Anti-Malware (reboot)»=»c:program filesMalwarebytes’ Anti-Malwarembam.exe» [2008-12-03 1265296][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowsSystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2008-12-06 113664][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\Program Files\THQ\Titan Quest\Titan Quest.exe»=
«c:\Program Files\Far\Far.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\Univision Canada Limited\Pico2000\DSR.exe»=
«c:\Program Files\Small Soft\MCC\mysql\bin\mysqld-nt.exe»=
«c:\Program Files\Small Soft\MCC\MCCServer\MCCmicroServ.exe»=
«c:\Program Files\Small Soft\MCC\Apache2\bin\Apache.exe»=
«c:\Program Files\Digital Surveillance Recorder\PICO2000\PlayServer.exe»=
«c:\Program Files\Digital Surveillance Recorder\PICO2000\DSR.exe»=
«c:\WINDOWS\System32\dpvsetup.exe»=
«c:\Program Files\Digital Surveillance Recorder\Remote Module\Alarm Receiver.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Opera\opera.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-11-20 111184]
R2 aswFsBlk;aswFsBlk;c:windowssystem32DRIVERSaswFsBlk.sys [2008-11-20 20560]
R2 sw848b;sw848b;c:windowssystem32driverssw848b.sys [2008-11-14 46790]
R2 sw878b;sw878b;c:windowssystem32driverssw878b.sys [2008-11-14 10148]
R3 cg300;cg300VidCap;c:windowssystem32DRIVERScg300vc.sys [2008-11-14 13468]
R3 cg300Au;cg300 Audio Capture;c:windowssystem32DRIVERScg300au.sys [2008-11-14 17167]
S3 ATE_PROCMON;ATE_PROCMON;??c:program filesAnti Trojan EliteATEPMon.sys []
S3 NtApm;Драйвер интерфейса NT Apm/Legacy;c:windowssystem32DRIVERSNtApm.sys [2008-03-17 9472]
S3 Winacusb;Winacusb;c:windowssystem32DRIVERSwinacusb.sys [2008-03-17 886240]
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-09 20:26:24
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(520)
c:windowssystem32Ati2evxx.dll
.
Other Running Processes
.
c:windowsSYSTEM32ATI2EVXX.EXE
c:windowsSYSTEM32ATI2EVXX.EXE
c:program filesALWIL SOFTWAREAVAST4ASWUPDSV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHSERV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHDISP.EXE
c:program filesJAVAJRE6BINJQS.EXE
c:program filesALWIL SOFTWAREAVAST4ASHMAISV.EXE
c:program filesALWIL SOFTWAREAVAST4ASHWEBSV.EXE
c:program filesALWIL SOFTWAREAVAST4SETUPAVAST.SETUP
.
**************************************************************************
.
Completion time: 2008-12-09 20:27:34 — machine was rebooted
ComboFix2.txt 2008-12-07 19:16:58
ComboFix-quarantined-files.txt 2008-12-09 13:27:32Pre-Run: 69 464 424 448 байт свободно
Post-Run: 69,445,419,008 байт свободно244 — E O F — 2008-11-17 15:20:01
Лог выглядит нормально.
Как поживает компьютер ?
Так же запустите Malwarebytes Anti-malware и выполните сканирование компьютера.
Если что-то найдёт, то удалите это.
В свой ответ вставьте MBAM лог.MBAM лог чист… Не верю!
Остаётся упасть в ноги и благодарить — СПАСИБО!!!
(Благодарность можно подкрепить парой-тройкой баксов?)Рад вам помочь 🙂
Благодарность можно подкрепить парой-тройкой баксов?
Спасибо уже за само предложение! Если у вас есть сайт, блог или домашняя страничка, то ссылка на форум или сайт была бы прекрасной помощью нам и другим людям, кому нужна помощь!
Несколько завершающих действий.
Проверьте вашу версию Java. Если у вас устаревшая версия (< 6.11), то прочитайте эту инструкцию: Как обновить Java.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Удалите скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
Оставьте программу Malwarebytes Anti-malware. Обновляйте эту программу время от времени, и выполняйте полное сканирование компьютера раз в неделю.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
