Созданные ответы форума
-
Сообщения
-
Порядок действий следующий:
В этот раз 1 -Создаю ТXT.файл навожу на Комбофикс пошла быстрая работа чтото удалил и перезагрузка.
2 — После перезагрузки навел опять ТXT.файл на комбофикс начал работать с долгой загрузкой в 10минут (гдето на 4 стадии выдал что программа PEV.cfxxe неотвечает следующим окном выдает закрыть программу я закрываю и сразуже пошла загрузка следующих стадий. После 50 стадии опять перезагрузка (в окне Администратор покозал что что то удаляет) при этом ЛОГ невыдал хотя в прошлый раз выдавал. Включился опять комп ТXT.файл с рабочего стола исчез я опять запустил комбофикс и в конце Выдал ЛОГ Причем опять как и всегда проблема с программой PEV.cfxxe и каждый раз удаляет мне подключение к интернету и при этом выкидывает на рабочий стол значек Эксплорера.ЛОГ
omboFix 10-08-08.01 — Михаил 10.08.2010 14:31:51.4.2 — x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1251.7.1049.18.1014.207 [GMT 4:00]
Running from: c:usersМихаилDesktopComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
SP: Защитник Windows *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
SP: VirusScan Enterprise + AntiSpyware Enterprise *enabled* (Updated) {24E45799-D058-4314-AC5D-1B2EE5C3151F}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
—- Previous Run
.
c:program filesWindows Defender
c:program filesWindows DefenderMpAsDesc.dll
c:program filesWindows DefenderMpClient.dll
c:program filesWindows DefenderMpCmdRun.exe
c:program filesWindows DefenderMpEvMsg.dll
c:program filesWindows DefenderMpOAV.dll
c:program filesWindows DefenderMpRtMon.dll
c:program filesWindows DefenderMpRtPlug.dll
c:program filesWindows DefenderMpSigDwn.dll
c:program filesWindows DefenderMpSoftEx.dll
c:program filesWindows DefenderMpSvc.dll
c:program filesWindows DefenderMSASCui.exe
c:program filesWindows DefenderMsMpCom.dll
c:program filesWindows DefenderMsMpLics.dll
c:program filesWindows DefenderMsMpRes.dll
c:program filesWindows Defenderru-RUMpAsDesc.dll.mui
c:program filesWindows Defenderru-RUMpEvMsg.dll.mui
c:program filesWindows Defenderru-RUMsMpRes.dll.mui.
((((((((((((((((((((((((( Files Created from 2010-07-10 to 2010-08-10 )))))))))))))))))))))))))))))))
.2010-08-10 10:44 . 2010-08-10 10:45
d
w- c:usersМихаилAppDataLocaltemp
2010-08-10 10:44 . 2010-08-10 10:44
d
w- c:usersPublicAppDataLocaltemp
2010-08-10 10:44 . 2010-08-10 10:44
d
w- c:usersDefaultAppDataLocaltemp
2010-08-07 18:43 . 2010-08-07 18:44
d
w- c:program filestrend micro
2010-08-07 18:43 . 2010-08-07 18:44
d
w- C:rsit
2010-08-04 14:57 . 2010-08-04 14:57
d
w- c:program filesEnwotex Software
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:program filesICQ6Toolbar
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:programdataICQ
2010-07-25 19:30 . 2010-07-25 19:38
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:30 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataLocalAOL
2010-07-14 17:00 . 2010-07-21 07:52
d
w- c:program filesAxis Communications
2010-07-13 15:26 . 2010-07-13 15:26
d
w- c:program filesRealtor Company.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-10 10:45 . 2010-01-29 14:49 3407872 —sha-w- c:usersМихаилNTUSER.DAT
2010-08-09 04:22 . 2010-02-01 19:54 62692 —-a-w- c:windowssystem32perfc019.dat
2010-08-09 04:22 . 2010-02-01 19:54 203430 —-a-w- c:windowssystem32perfh019.dat
2010-08-06 07:06 . 2010-01-29 20:01
d
w- c:usersМихаилAppDataRoamingWinamp
2010-08-03 20:03 . 2010-01-29 16:05
d
w- c:usersМихаилAppDataRoaminguTorrent
2010-08-01 23:24 . 2010-02-08 09:22
d
w- c:usersМихаилAppDataRoamingSkype
2010-07-30 17:06 . 2010-02-08 09:21
d
w- c:usersМихаилAppDataRoamingskypePM
2010-07-25 19:38 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:31 . 2010-01-29 14:59
d—h—w- c:program filesInstallShield Installation Information
2010-07-16 06:08 . 2006-11-02 11:18
d
w- c:program filesWindows Mail
2010-07-16 06:06 . 2010-01-29 18:36
d
w- c:programdataMicrosoft Help
2010-06-27 10:43 . 2010-03-19 09:34
d
w- c:program filesGoogle
2010-06-16 07:00 . 2010-04-07 10:21
d
w- c:program filesAtomPark
2010-06-07 16:52 . 2010-06-07 16:52 1956808 —-a-w- c:usersМихаилAppDataRoamingMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2010-05-26 16:16 . 2010-06-10 10:12 34304 —-a-w- c:windowssystem32atmlib.dll
2010-05-26 14:25 . 2010-06-10 10:12 289792 —-a-w- c:windowssystem32atmfd.dll
2010-05-21 10:14 . 2010-01-30 00:47 221568
w- c:windowssystem32MpSigStub.exe
2010-05-14 11:33 . 2010-03-20 10:06 127440 —-a-w- c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
2010-05-14 11:32 . 2010-06-06 16:12 280440 —-a-w- c:usersМихаилAppDataRoamingQipGuardsqlite3.dll
2010-05-14 11:32 . 2010-06-06 16:12 184272 —-a-w- c:usersМихаилAppDataRoamingQipGuardQipGuard.exe
2010-05-14 11:32 . 2010-06-06 16:12 20944 —-a-w- c:usersМихаилAppDataRoamingQipGuardchrome.dll
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«RocketDock»=»c:program filesRocketDockRocketDock.exe» [2007-09-02 495616]
«OscarEditor»=»c:program filesOSCARK3G5OscarEditor.exe» [2009-08-11 4052992]
«WMPNSCFG»=»c:program filesWindows Media PlayerWMPNSCFG.exe» [2008-01-19 202240]
«Infium»=»c:program filesQIP 2010qip.exe» [2010-05-14 5562832]
«QIP Internet Guardian»=»c:usersМихаилAppDataRoamingQipGuardQipGuard.exe» [2010-05-14 184272][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-05-04 142104]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-05-04 154392]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-05-04 138008]
«RtHDVCpl»=»RtHDVCpl.exe» [2007-04-10 4431872]
«Skytel»=»Skytel.exe» [2007-04-04 1822720]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2007-04-19 861744]
«McAfeeUpdaterUI»=»c:program filesMcAfeeCommon Frameworkudaterui.exe» [2008-03-14 136512]
«ShStatEXE»=»c:program filesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2009-04-09 124240]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2010-06-20 35760]
«Adobe ARM»=»c:program filesCommon FilesAdobeARM1.0AdobeARM.exe» [2010-06-09 976832]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2008-10-25 31072]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2007-10-14 49152]
«WinampAgent»=»c:program filesWinampwinampa.exe» [2009-12-18 39424]
«Intense Registry Service»=»IntEdReg.exe» [2008-03-20 55296]
«Windows Mobile-based device management»=»c:windowsWindowsMobilewmdcBase.exe» [2007-05-31 648072]
«RAM Manager»=»c:program filesEnwotex SoftwareRAM Manager 7.1ramgr32.exe» [2010-08-04 743424]c:usersЊЁе Ё«AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
1-Calc.lnk — c:program filesOmega One1-Calc1Calc.exe [2006-7-13 475136]
‚л१Є нЄа Ё Їа®Ја ¬¬ § ЇгбЄ ¤«п OneNote 2007.lnk — c:program filesMicrosoft OfficeOffice12ONENOTEM.EXE [2009-2-26 97680]c:programdataMicrosoftWindowsStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2007-10-14 214360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»R3 EZUSB;Usb Driver;c:windowssystem32Driversezusb.sys [2002-09-16 12307]
R3 mferkdet;McAfee Inc. mferkdet;c:windowssystem32driversmferkdet.sys [2009-04-09 65224]
R4 sptd;sptd;c:windowssystem32Driverssptd.sys [2010-01-29 715248]
S2 McAfeeEngineService;McAfee Engine Service;c:program filesMcAfeeVirusScan Enterpriseengineserver.exe [2009-04-09 21256]
S2 mfevtp;McAfee Validation Trust Protection Service;c:windowssystem32mfevtps.exe [2009-04-09 70216][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Advanced Email Extractor — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/page.html
IE: Atomic Email Hunter — c:program filesAtomParkePochta Extractorie.htm
IE: Google ВикиКомментарии… — c:program filesGoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Scan link with AEE — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/link.html
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} — hxxp://217.197.122.134/activex/AMC.cab
FF — ProfilePath — c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://firefox.yandex.ru/
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensionscapturefoxmovie@advancity.netcomponentscapturefoxxpi_win32.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-10 14:45
Windows 6.0.6001 Service Pack 1 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000b5
.
Completion time: 2010-08-10 14:50:04
ComboFix-quarantined-files.txt 2010-08-10 10:49
ComboFix2.txt 2010-08-09 17:24
ComboFix3.txt 2010-08-09 04:51Pre-Run: 4 427 825 152 байт свободно
Post-Run: 4 312 461 312 байт свободно— — End Of File — — F66D9DC20574BFD29E49BDB0E37D7571
ЛОГ:
ComboFix 10-08-08.01 — Михаил 09.08.2010 20:45:38.2.2 — x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1251.7.1049.18.1014.208 [GMT 4:00]
Running from: c:usersМихаилDesktopComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
SP: Защитник Windows *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
SP: VirusScan Enterprise + AntiSpyware Enterprise *enabled* (Updated) {24E45799-D058-4314-AC5D-1B2EE5C3151F}
.((((((((((((((((((((((((( Files Created from 2010-07-09 to 2010-08-09 )))))))))))))))))))))))))))))))
.2010-08-09 17:17 . 2010-08-09 17:17
d
w- c:usersPublicAppDataLocaltemp
2010-08-09 17:17 . 2010-08-09 17:17
d
w- c:usersDefaultAppDataLocaltemp
2010-08-07 18:43 . 2010-08-07 18:44
d
w- c:program filestrend micro
2010-08-07 18:43 . 2010-08-07 18:44
d
w- C:rsit
2010-08-04 14:57 . 2010-08-04 14:57
d
w- c:program filesEnwotex Software
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:program filesICQ6Toolbar
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:programdataICQ
2010-07-25 19:30 . 2010-07-25 19:38
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:30 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataLocalAOL
2010-07-14 17:00 . 2010-07-21 07:52
d
w- c:program filesAxis Communications
2010-07-13 15:26 . 2010-07-13 15:26
d
w- c:program filesRealtor Company.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-09 17:18 . 2010-01-29 14:49 3407872 —sha-w- c:usersМихаилNTUSER.DAT
2010-08-09 04:22 . 2010-02-01 19:54 62692 —-a-w- c:windowssystem32perfc019.dat
2010-08-09 04:22 . 2010-02-01 19:54 203430 —-a-w- c:windowssystem32perfh019.dat
2010-08-06 07:06 . 2010-01-29 20:01
d
w- c:usersМихаилAppDataRoamingWinamp
2010-08-03 20:03 . 2010-01-29 16:05
d
w- c:usersМихаилAppDataRoaminguTorrent
2010-08-01 23:24 . 2010-02-08 09:22
d
w- c:usersМихаилAppDataRoamingSkype
2010-07-30 17:06 . 2010-02-08 09:21
d
w- c:usersМихаилAppDataRoamingskypePM
2010-07-25 19:38 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:31 . 2010-01-29 14:59
d—h—w- c:program filesInstallShield Installation Information
2010-07-16 06:08 . 2006-11-02 11:18
d
w- c:program filesWindows Mail
2010-07-16 06:06 . 2010-01-29 18:36
d
w- c:programdataMicrosoft Help
2010-06-27 10:43 . 2010-03-19 09:34
d
w- c:program filesGoogle
2010-06-16 07:00 . 2010-04-07 10:21
d
w- c:program filesAtomPark
2010-06-07 16:52 . 2010-06-07 16:52 1956808 —-a-w- c:usersМихаилAppDataRoamingMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2010-05-26 16:16 . 2010-06-10 10:12 34304 —-a-w- c:windowssystem32atmlib.dll
2010-05-26 14:25 . 2010-06-10 10:12 289792 —-a-w- c:windowssystem32atmfd.dll
2010-05-21 10:14 . 2010-01-30 00:47 221568
w- c:windowssystem32MpSigStub.exe
2010-05-14 11:33 . 2010-03-20 10:06 127440 —-a-w- c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
2010-05-14 11:32 . 2010-06-06 16:12 280440 —-a-w- c:usersМихаилAppDataRoamingQipGuardsqlite3.dll
2010-05-14 11:32 . 2010-06-06 16:12 184272 —-a-w- c:usersМихаилAppDataRoamingQipGuardQipGuard.exe
2010-05-14 11:32 . 2010-06-06 16:12 20944 —-a-w- c:usersМихаилAppDataRoamingQipGuardchrome.dll
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«RocketDock»=»c:program filesRocketDockRocketDock.exe» [2007-09-02 495616]
«OscarEditor»=»c:program filesOSCARK3G5OscarEditor.exe» [2009-08-11 4052992]
«WMPNSCFG»=»c:program filesWindows Media PlayerWMPNSCFG.exe» [2008-01-19 202240]
«Infium»=»c:program filesQIP 2010qip.exe» [2010-05-14 5562832]
«QIP Internet Guardian»=»c:usersМихаилAppDataRoamingQipGuardQipGuard.exe» [2010-05-14 184272][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=»c:program filesWindows DefenderMSASCui.exe» [2008-01-19 1008184]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-05-04 142104]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-05-04 154392]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-05-04 138008]
«RtHDVCpl»=»RtHDVCpl.exe» [2007-04-10 4431872]
«Skytel»=»Skytel.exe» [2007-04-04 1822720]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2007-04-19 861744]
«McAfeeUpdaterUI»=»c:program filesMcAfeeCommon Frameworkudaterui.exe» [2008-03-14 136512]
«ShStatEXE»=»c:program filesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2009-04-09 124240]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2010-06-20 35760]
«Adobe ARM»=»c:program filesCommon FilesAdobeARM1.0AdobeARM.exe» [2010-06-09 976832]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2008-10-25 31072]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2007-10-14 49152]
«WinampAgent»=»c:program filesWinampwinampa.exe» [2009-12-18 39424]
«Intense Registry Service»=»IntEdReg.exe» [2008-03-20 55296]
«Windows Mobile-based device management»=»c:windowsWindowsMobilewmdcBase.exe» [2007-05-31 648072]
«RAM Manager»=»c:program filesEnwotex SoftwareRAM Manager 7.1ramgr32.exe» [2010-08-04 743424]c:usersЊЁе Ё«AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
1-Calc.lnk — c:program filesOmega One1-Calc1Calc.exe [2006-7-13 475136]
‚л१Є нЄа Ё Їа®Ја ¬¬ § ЇгбЄ ¤«п OneNote 2007.lnk — c:program filesMicrosoft OfficeOffice12ONENOTEM.EXE [2009-2-26 97680]c:programdataMicrosoftWindowsStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2007-10-14 214360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»R3 EZUSB;Usb Driver;c:windowssystem32Driversezusb.sys [2002-09-16 12307]
R3 mferkdet;McAfee Inc. mferkdet;c:windowssystem32driversmferkdet.sys [2009-04-09 65224]
R4 sptd;sptd;c:windowssystem32Driverssptd.sys [2010-01-29 715248]
S2 McAfeeEngineService;McAfee Engine Service;c:program filesMcAfeeVirusScan Enterpriseengineserver.exe [2009-04-09 21256]
S2 mfevtp;McAfee Validation Trust Protection Service;c:windowssystem32mfevtps.exe [2009-04-09 70216][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Advanced Email Extractor — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/page.html
IE: Atomic Email Hunter — c:program filesAtomParkePochta Extractorie.htm
IE: Google ВикиКомментарии… — c:program filesGoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Scan link with AEE — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/link.html
TCP: {1C24A7DE-EE2F-42B3-B0DB-72404EA586BF} = 193.125.143.173 81.5.91.3
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} — hxxp://217.197.122.134/activex/AMC.cab
FF — ProfilePath — c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://firefox.yandex.ru/
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensionscapturefoxmovie@advancity.netcomponentscapturefoxxpi_win32.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-09 21:18
Windows 6.0.6001 Service Pack 1 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000b5
.
Completion time: 2010-08-09 21:24:20
ComboFix-quarantined-files.txt 2010-08-09 17:24
ComboFix2.txt 2010-08-09 04:51Pre-Run: 4 323 385 344 байт свободно
Post-Run: 4 321 845 248 байт свободно— — End Of File — — 92638AAA34012CF746C3ABC4554FFEDF
ЛОГ:
ComboFix 10-08-08.01 — Михаил 09.08.2010 8:33.1.2 — x86
Microsoft® Windows Vista™ Home Basic 6.0.6001.1.1251.7.1049.18.1014.289 [GMT 4:00]
Running from: c:usersМихаилDesktopComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
SP: Защитник Windows *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
SP: VirusScan Enterprise + AntiSpyware Enterprise *enabled* (Updated) {24E45799-D058-4314-AC5D-1B2EE5C3151F}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:windowssystem32smtp.ocx
.
((((((((((((((((((((((((( Files Created from 2010-07-09 to 2010-08-09 )))))))))))))))))))))))))))))))
.2010-08-09 04:45 . 2010-08-09 04:45
d
w- c:usersDefaultAppDataLocaltemp
2010-08-07 18:43 . 2010-08-07 18:44
d
w- c:program filestrend micro
2010-08-07 18:43 . 2010-08-07 18:44
d
w- C:rsit
2010-08-04 14:57 . 2010-08-04 14:57
d
w- c:program filesEnwotex Software
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:program filesICQ6Toolbar
2010-07-25 19:31 . 2010-07-25 19:31
d
w- c:programdataICQ
2010-07-25 19:30 . 2010-07-25 19:38
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:30 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataLocalAOL
2010-07-14 17:00 . 2010-07-21 07:52
d
w- c:program filesAxis Communications
2010-07-13 15:26 . 2010-07-13 15:26
d
w- c:program filesRealtor Company.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-09 04:46 . 2010-01-29 14:49 3407872 —sha-w- c:usersМихаилNTUSER.DAT
2010-08-09 04:22 . 2010-02-01 19:54 62692 —-a-w- c:windowssystem32perfc019.dat
2010-08-09 04:22 . 2010-02-01 19:54 203430 —-a-w- c:windowssystem32perfh019.dat
2010-08-06 07:06 . 2010-01-29 20:01
d
w- c:usersМихаилAppDataRoamingWinamp
2010-08-03 20:03 . 2010-01-29 16:05
d
w- c:usersМихаилAppDataRoaminguTorrent
2010-08-01 23:24 . 2010-02-08 09:22
d
w- c:usersМихаилAppDataRoamingSkype
2010-07-30 17:06 . 2010-02-08 09:21
d
w- c:usersМихаилAppDataRoamingskypePM
2010-07-25 19:38 . 2010-07-25 19:30
d
w- c:usersМихаилAppDataRoamingICQ
2010-07-25 19:31 . 2010-01-29 14:59
d—h—w- c:program filesInstallShield Installation Information
2010-07-16 06:08 . 2006-11-02 11:18
d
w- c:program filesWindows Mail
2010-07-16 06:06 . 2010-01-29 18:36
d
w- c:programdataMicrosoft Help
2010-06-27 10:43 . 2010-03-19 09:34
d
w- c:program filesGoogle
2010-06-16 07:00 . 2010-04-07 10:21
d
w- c:program filesAtomPark
2010-06-07 16:52 . 2010-06-07 16:52 1956808 —-a-w- c:usersМихаилAppDataRoamingMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2010-05-26 16:16 . 2010-06-10 10:12 34304 —-a-w- c:windowssystem32atmlib.dll
2010-05-26 14:25 . 2010-06-10 10:12 289792 —-a-w- c:windowssystem32atmfd.dll
2010-05-21 10:14 . 2010-01-30 00:47 221568
w- c:windowssystem32MpSigStub.exe
2010-05-14 11:33 . 2010-03-20 10:06 127440 —-a-w- c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
2010-05-14 11:32 . 2010-06-06 16:12 280440 —-a-w- c:usersМихаилAppDataRoamingQipGuardsqlite3.dll
2010-05-14 11:32 . 2010-06-06 16:12 184272 —-a-w- c:usersМихаилAppDataRoamingQipGuardQipGuard.exe
2010-05-14 11:32 . 2010-06-06 16:12 20944 —-a-w- c:usersМихаилAppDataRoamingQipGuardchrome.dll
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«RocketDock»=»c:program filesRocketDockRocketDock.exe» [2007-09-02 495616]
«OscarEditor»=»c:program filesOSCARK3G5OscarEditor.exe» [2009-08-11 4052992]
«WMPNSCFG»=»c:program filesWindows Media PlayerWMPNSCFG.exe» [2008-01-19 202240]
«Infium»=»c:program filesQIP 2010qip.exe» [2010-05-14 5562832]
«QIP Internet Guardian»=»c:usersМихаилAppDataRoamingQipGuardQipGuard.exe» [2010-05-14 184272][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=»c:program filesWindows DefenderMSASCui.exe» [2008-01-19 1008184]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-05-04 142104]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-05-04 154392]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-05-04 138008]
«RtHDVCpl»=»RtHDVCpl.exe» [2007-04-10 4431872]
«Skytel»=»Skytel.exe» [2007-04-04 1822720]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2007-04-19 861744]
«McAfeeUpdaterUI»=»c:program filesMcAfeeCommon Frameworkudaterui.exe» [2008-03-14 136512]
«ShStatEXE»=»c:program filesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2009-04-09 124240]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 9.0ReaderReader_sl.exe» [2010-06-20 35760]
«Adobe ARM»=»c:program filesCommon FilesAdobeARM1.0AdobeARM.exe» [2010-06-09 976832]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2008-10-25 31072]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2007-10-14 49152]
«WinampAgent»=»c:program filesWinampwinampa.exe» [2009-12-18 39424]
«Intense Registry Service»=»IntEdReg.exe» [2008-03-20 55296]
«Windows Mobile-based device management»=»c:windowsWindowsMobilewmdcBase.exe» [2007-05-31 648072]
«RAM Manager»=»c:program filesEnwotex SoftwareRAM Manager 7.1ramgr32.exe» [2010-08-04 743424]c:usersЊЁе Ё«AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
1-Calc.lnk — c:program filesOmega One1-Calc1Calc.exe [2006-7-13 475136]
‚л१Є нЄа Ё Їа®Ја ¬¬ § ЇгбЄ ¤«п OneNote 2007.lnk — c:program filesMicrosoft OfficeOffice12ONENOTEM.EXE [2009-2-26 97680]c:programdataMicrosoftWindowsStart MenuProgramsStartup
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2007-10-14 214360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
@=»Service»[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvc]
«AntiVirusOverride»=dword:00000001R3 EZUSB;Usb Driver;c:windowssystem32Driversezusb.sys [2002-09-16 12307]
R3 mferkdet;McAfee Inc. mferkdet;c:windowssystem32driversmferkdet.sys [2009-04-09 65224]
R4 sptd;sptd;c:windowssystem32Driverssptd.sys [2010-01-29 715248]
S2 McAfeeEngineService;McAfee Engine Service;c:program filesMcAfeeVirusScan Enterpriseengineserver.exe [2009-04-09 21256]
S2 mfevtp;McAfee Validation Trust Protection Service;c:windowssystem32mfevtps.exe [2009-04-09 70216][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/?clid=40316
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Advanced Email Extractor — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/page.html
IE: Atomic Email Hunter — c:program filesAtomParkePochta Extractorie.htm
IE: Google ВикиКомментарии… — c:program filesGoogleGoogle ToolbarComponentGoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Scan link with AEE — d:%e0%e3%e5%ed%f2%D1%CF%C0%CCE%2DmailExtraktor%CD%EE%E2%E0%FF%20%EF%E0%EF%EA%E0Advanced%20Email%20Extractor%20PROAeePMsie.dll/link.html
TCP: {1C24A7DE-EE2F-42B3-B0DB-72404EA586BF} = 193.125.143.173 81.5.91.3
DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} — hxxp://217.197.122.134/activex/AMC.cab
FF — ProfilePath — c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://firefox.yandex.ru/
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
FF — component: c:usersМихаилAppDataRoamingMozillaFirefoxProfilesq85ia9zn.defaultextensionscapturefoxmovie@advancity.netcomponentscapturefoxxpi_win32.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
.
— — — — ORPHANS REMOVED — — — —WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} — (no file)
AddRemove-LeaderTask_is1 — h:лидер таскLeaderTaskunins000.exe**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-09 08:46
Windows 6.0.6001 Service Pack 1 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000b5
.
Completion time: 2010-08-09 08:51:26
ComboFix-quarantined-files.txt 2010-08-09 04:51Pre-Run: 5 415 370 752 байт свободно
Post-Run: 5 314 736 128 байт свободно— — End Of File — — 97D12AE8372E77D177CE032464DF81C1
