[Andrey777]

Есть проблема, этот файл, если и есть в той папке, куда ссылается реестр, то его не видно там, ставил галку «отображать скрытые файлы», думая, что он скрытый, но все равно его по тому пути, который указан в реестре нет. Не видит как «обзорник» virustotal.com, так и проводник, и тотал коммандер. Есть какие-нибудь рекомендации что делать? 😳

[Andrey777]

При включении Касперский дает предупреждение на 2 ключа, вот их содержимое:

1.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADD]
«Type»=dword:00000001
«Start»=dword:00000004
«ErrorControl»=dword:00000001
«ImagePath»=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,69,00,6e,00,
64,00,6f,00,77,00,73,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,47,00,45,00,54,00,
50,00,41,00,44,00,44,00,2e,00,73,00,79,00,73,00,00,00
«DisplayName»=»GETPADD»
«DeleteFlag»=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADDEnum]
«Count»=dword:00000000
«NextInstance»=dword:00000000

2.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesGETPADDEnum]
«Count»=dword:00000000
«NextInstance»=dword:00000000

Вот содержимое ключа, на который ругается Касперский при подключении сети:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces]

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{03895d47-de8c-431b-aa90-001f82875b08}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{03f0e2fe-37f9-4114-a122-d3da733ab454}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{04a044f1-e582-4231-9ba1-e65b629496fb}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{12d1e1bf-7385-4f39-bd0a-00354d32c9da}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1791258e-ade8-4c76-98e3-ad8699c5799a}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1cf97411-c722-41cf-8d96-4f99d62dbea2}]
«Dhcpv6Iaid»=dword:12001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{1f380934-153d-43fb-9ebb-68cf0c2e2634}]
«Dhcpv6Iaid»=dword:16001bfc
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2a0d6c62-74db-41f3-8014-2bc342245821}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2b41f346-a9c3-4c53-9026-92a3ffdaedef}]
«Dhcpv6Iaid»=dword:1e000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{2ed1ec6b-4aa0-4ec9-9368-6df2d0138acc}]
«Dhcpv6Iaid»=dword:15001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3343c6b7-dd7b-4267-801f-b4ac6711b468}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3451456a-3823-4e23-9915-fa0cdc7e1df5}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{3aada232-11af-4488-b6fe-af3ace868329}]
«Dhcpv6Iaid»=dword:150219d2
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{40d31977-6c17-4bbc-b706-24993586991d}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{43175e75-0cb3-4c44-9f57-08efec0fa772}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{43fcf5d6-496b-43f6-a8cf-852a443eac9f}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5226504a-9af0-46d8-9797-752083ec08be}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5391d6a8-2bb8-4bac-9bf4-3fd6b34218be}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{58b510ad-88a3-41da-9a48-27d72306e939}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5db2d3ae-47fc-4f3f-a08d-29ea5d279d0f}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{5ffcce94-8d1c-4031-967c-4c7f99251c1c}]
«Dhcpv6Iaid»=dword:0c0015f2
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{68b10683-cb1e-481b-8763-9d2a792b66e0}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{733d30cc-59ea-438e-a2ef-6d317afe8c73}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{76436c40-c574-4126-88a9-eca257e2f80e}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{81a22446-a5d2-4ac6-80e4-4adea415a1cd}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{885729ac-be0b-4359-bd5c-bd84fb3a8b4c}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{8915f06a-641c-41e5-90cd-ea4d2b05e759}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{8a2f800d-48e2-4538-8602-30785e9c65f0}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{947ed2d5-c9b5-4425-a15a-95d50ee0cf9f}]
«Dhcpv6Iaid»=dword:21000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{94dae192-8325-4e74-9206-d8a84d6a25d1}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{971cb316-7a95-4af5-a382-2adecfd92579}]
«Dhcpv6Iaid»=dword:1a020054
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{991ebc40-5ca3-4ed6-90cf-586bf73a1508}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{9b86073e-ba0e-4c2b-be42-595bbb2b94a8}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{9c642153-bfe0-4511-a0b6-e778ddd5ea9e}]
«Dhcpv6Iaid»=dword:07001422
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{a3b1998e-3281-46a1-a492-019197ec8043}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{a812b376-973f-4e40-9c4d-ea915f6ae1fc}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{aa66bdc2-0af9-42ff-abd6-55e3923dfbb7}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{ac73e64e-e069-4b79-813a-5b0675d5ca48}]
«Dhcpv6Iaid»=dword:1e000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{afd8218c-f6b4-41c2-b8d3-7709705d90e7}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b29f1eea-1e14-41fb-89b6-a189b92ff937}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b68b938c-0b43-485a-a1d0-94e6a2f441df}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{b6ef483f-4db2-48b9-8821-fb7a1cdbc628}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{be87a294-96c0-45fb-ac00-9858d1d05bac}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{c22bcb74-19fa-48f1-ae0c-9568ac648532}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{c5891eab-b4e5-4e8c-bf86-81755c5b8349}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{cfbd6288-2324-4c91-938a-2a34a7126be5}]
«Dhcpv6Iaid»=dword:17000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{d1c756f8-ff4c-4121-8d76-9b38543c4a6b}]
«Dhcpv6Iaid»=dword:10001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{f0437b70-58f9-4a65-8e3a-377b80169b9b}]
«Dhcpv6Iaid»=dword:1d000000
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{f50c0996-5b4a-4c6a-a322-6e991d4caa0e}]
«Dhcpv6Iaid»=dword:06001422
«Dhcpv6State»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{fd209a3a-99c7-4f11-a007-0a21be4ebd39}]
«Dhcpv6Iaid»=dword:08001bfc
«Dhcpv6State»=dword:00000000
«NameServer»=»192.168.2.12»
«Domain»=»»

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesTcpip6ParametersInterfaces{fe9355ed-3720-4171-aea9-56e37b223baa}]
«Dhcpv6Iaid»=dword:0e0019d2
«Dhcpv6State»=dword:00000000
«NameServer»=»»
«Domain»=»»

[Andrey777]

Выкладываю скрины в следующей последовательности:
1. Сразу после загрузки системы и Касперского.

2. После нажатия на первом скрине кнопки «Запретить».

3. После нажатия на втором скрине кнопки «Запретить».

4. Сообщение с процессом svchost.exe и нажатием кнопки «подробнее».

[Andrey777]

Я — дилетант в плане определения троян или нет, но проактивная защита каспера и сейчас при включении ноута или когда разрывается соединение интернета и снова я подключаюсь выдает то же окно, где говорится, что процесс services.exe (при включении) или процесс svchost.exe (при переподключении интернета) пытается удалить составы библиотек, загружаемых при старте. Также в окне указываются какие-то ключи реестра. Я запрещаю запускаться этому делу, но перманентно окно выскакивает в случае вышеописанных действий. 🙁 🙁

[Andrey777]

Последовав Вашим рекомендациям получил следующие логи:

Combofix:

ComboFix 09-04-29.07 — Андрей 30.04.2009 20:03.2 — NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1251.7.1049.18.2047.1352 [GMT 4:00]
Running from: c:usersАндрейDesktopComboFix.exe
AV: Антивирус Касперского *On-access scanning disabled* (Updated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem32acovcnt.exe

.
((((((((((((((((((((((((( Files Created from 2009-05-28 to 2009-4-30 )))))))))))))))))))))))))))))))
.

2009-04-25 12:38 . 2007-03-07 23:51 129784

---

w c:windowssystem32pxafs.dll
2009-04-25 10:08 . 2009-04-25 10:10

---

d

---

w c:program filestrend micro
2009-04-25 07:29 . 2009-04-25 07:30

---

d

---

w c:windowsInternet Logs
2009-04-25 07:28 . 2009-04-25 07:28

---

d

---

w c:program filesWindows Live Safety Center
2009-04-24 07:45 . 2009-04-24 07:55

---

d

---

w c:program filesEnigma Software Group
2009-04-24 05:17 . 2009-04-24 05:23

---

d

---

w c:program filesCrawler
2009-04-24 05:11 . 2009-04-24 05:12

---

d

---

w c:program filesSpyware Doctor
2009-04-24 05:11 . 2005-09-23 03:29 626688 —-a-w c:windowssystem32msvcr80.dll
2009-04-23 19:46 . 2009-04-23 19:46

---

d

---

w c:programdataMalwarebytes
2009-04-23 19:46 . 2009-04-23 19:46

---

d

---

w c:usersAll UsersMalwarebytes
2009-04-23 19:07 . 2009-04-23 19:07 3 —-a-w c:windowssystem32_id.dat
2009-04-23 11:24 . 2009-04-30 14:49

---

d

---

w C:Downloads
2009-04-23 05:25 . 2009-04-23 10:56

---

d

---

w C:с Д
2009-04-01 19:43 . 2009-04-01 19:43

---

d

---

w c:program filesAviInfo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-30 16:06 . 2008-10-31 07:55 50824736 —sha-w c:windowssystem32driversfidbox.dat
2009-04-30 16:02 . 2006-11-09 07:21 85044 —-a-w c:windowssystem32perfc019.dat
2009-04-30 16:02 . 2006-11-09 07:21 526940 —-a-w c:windowssystem32perfh019.dat
2009-04-30 15:53 . 2008-10-31 07:55 686096 —sha-w c:windowssystem32driversfidbox.idx
2009-04-30 15:53 . 2007-09-06 16:09 12 —-a-w c:windowsbthservsdp.dat
2009-04-30 12:27 . 2008-05-28 07:32

---

d

---

w c:program filesCity Guide 2.2
2009-04-25 12:39 . 2007-09-06 18:28

---

d

---

w c:program filesWinamp
2009-04-24 07:54 . 2007-09-06 18:23

---

d

---

w c:program filesGRETECH
2009-04-07 06:55 . 2009-02-27 23:21

---

d

---

w c:program filesJava
2009-04-02 09:54 . 2009-03-27 05:56

---

d

---

w c:program filesDivX
2009-03-27 05:55 . 2008-07-31 13:26

---

d

---

w c:program filesK-Lite Codec Pack
2009-03-26 09:18 . 2009-03-26 09:18

---

d

---

w c:program filesVITSOFT
2009-03-23 08:20 . 2008-05-29 10:53

---

d

---

w c:program filesThe Bat!
2009-03-10 14:25 . 2007-09-06 19:22

---

d

---

w c:program filesMicrosoft Works
2009-03-09 20:16 . 2009-01-13 12:09

---

d

---

w c:program filesZTE Wireless Terminal
2009-03-09 01:19 . 2009-02-27 23:22 410984 —-a-w c:windowssystem32deploytk.dll
2009-03-08 01:30 . 2007-09-12 16:17

---

d

---

w c:program filesQIP
2009-03-01 10:04 . 2006-11-02 08:58 802816 —-a-w c:windowssystem32driverstcpip.sys
2009-02-09 18:56 . 2009-03-27 05:55 67584 —-a-w c:windowssystem32ff_vfw.dll
2009-02-04 08:59 . 2008-10-31 07:57 89601 —-a-w c:windowssystem32driversklick.dat
2009-02-04 08:59 . 2008-10-31 07:57 101287 —-a-w c:windowssystem32driversklin.dat
2006-11-02 12:50 . 2006-11-02 12:50 174 —sha-w c:program filesdesktop.ini
2000-07-10 08:38 . 2008-05-29 11:19 73728 —-a-w c:program filesMailTime 2.3.1.exe
1999-04-23 19:22 . 2007-04-17 23:29 68871 —sha-r c:windowsConfigSetRootDRVSPACE.BIN
1999-04-23 19:22 . 2007-04-17 23:29 222390 —sha-r c:windowsConfigSetRootIO.SYS
1999-05-05 19:22 . 2007-04-17 23:29 1026 —sha-r c:windowsConfigSetRootMSDOS.SYS
2000-06-21 09:22 . 2007-04-17 23:29 0 —sha-w c:windowsConfigSetRootDOSEBD.SYS
2008-06-17 10:51 . 2008-06-04 11:05 2828 —sha-w c:windowsSystem32KGyGaAvL.sys
.

---

Sigcheck

---

[-] 2009-03-01 10:04 802816 501E080DC5897D8E343383C19051075C c:windowsSystem32driverstcpip.sys
[7] 2006-11-02 08:58 802816 D944522B048A5FEB7700B5170D3D9423 c:windowswinsxsx86_microsoft-windows-tcpip_31bf3856ad364e35_6.0.6000.16386_none_5f4ed3e0926e99e4tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ehTray.exe»=»c:windowsehomeehTray.exe» [2006-11-02 125440]
«ISUSPM Startup»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2005-08-11 249856]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2006-11-10 90112]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SMSERIAL»=»c:program filesMotorolaSMSERIALsm56hlpr.exe» [2006-11-22 630784]
«ATKMEDIA»=»c:program filesASUSATK MediaDMEDIA.EXE» [2006-11-02 61440]
«ASUS Camera ScreenSaver»=»c:windowsASScrProlog.exe» [2007-09-06 37232]
«ASUS Screen Saver Protector»=»c:windowsASScrPro.exe» [2007-09-06 33136]
«wcmdmgr»=»c:windowswtupdaterwcmdmgrl.exe» [2001-01-25 20480]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2007-09-08 155648]
«D_V_T»=»c:\dvt.exe» [2007-09-21 3584]
«NeroFilterCheck»=»c:program filesCommon FilesNeroLibNeroCheck.exe» [2007-03-01 153136]
«ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-08-11 81920]
«RtHDVCpl»=»RtHDVCpl.exe» — c:windowsRtHDVCpl.exe [2008-07-03 6266880]

c:usersЂ­¤аҐ©AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
CCC.lnk — c:program filesATI TechnologiesATI.ACECore-StaticCCC.exe [2006-9-29 49152]
Enh.exe [2006-11-22 815104]
Total Commander.lnk — c:program filesTotal CommanderTotalcmd.exe [2007-9-7 1079752]

c:programdataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2007-1-18 2752512]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableLUA»= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1KASPER~1KASPER~1.0FOadialhk.dll c:progra~1KASPER~1KASPER~1.0FOr3hook.dll

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
«wave1″= serwvdrv.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoring]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerSvcS-1-5-21-1264078198-212778677-4080237872-1000]
«EnableNotificationsRef»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicyDomainProfile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicyFirewallRules]
«{B5DA0DF4-3AAC-4263-AD2C-F882D231914B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent (TCP-In)
«{9959FC37-46F9-45E7-8B57-A0728A4406B8}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent (UDP-In)
«{7AB4C651-ECB6-4D6F-BC8D-2B0DC66920DF}»= c:program filesSkypePhoneSkype.exe:Skype
«{9D298752-3A3E-44CB-8C38-E9AC41CA6138}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{F74517EF-F4E5-4A12-B3E0-D6806B79FCEC}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent
«{FA5089E0-EB60-446C-BEEA-03EDCF8DC38B}»= UDP:c:program filesuTorrentuTorrent.exe:µTorrent
«{3C9F1244-C023-4EF5-A40A-F728E5D786D3}»= TCP:c:program filesuTorrentuTorrent.exe:µTorrent

[HKLM~servicessharedaccessparametersfirewallpolicyPublicProfile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicyRestrictedServicesStaticSystem]
«DFSR-1″= RPort=5722|UDP:%SystemRoot%system32svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM~servicessharedaccessparametersfirewallpolicyStandardProfile]
«EnableFirewall»= 0 (0x0)

R3 FileObjInfo;FileObjInfo; [x]
R3 ipswuio;ipswuio; [x]
R3 zteusbser;ZTE USB Device for Legacy Serial Communication;c:windowssystem32DRIVERSzteusbser.sys [2008-03-10 99328]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:windowssystem32DRIVERSklim6.sys [2007-04-04 20760]
S2 haspflt;haspflt;c:windowssystem32drivershaspflt.sys [2004-12-10 29024]
S2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:windowsSystem32StkCSrv.exe [2007-02-07 24576]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:windowssystem32DriversStkCMini.sys [2007-02-13 1245056]
S3 WCPU;WCPU;c:program filesP4GWCPU.sys [2007-01-02 11120]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
bthsvcs REG_MULTI_SZ BthServ

[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled componentsccc-core-static]
msiexec /fums {8BB7F11E-4F20-9E97-0350-0EEDEF3C3D89} /qb
.
.

---

Supplementary Scan

---

.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Crawler Search
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-30 20:07
Windows 6.0.6000 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

LOCKED REGISTRY KEYS

---

[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}]
@Denied: (A 2) (Everyone)
@=»FlashBroker»
«LocalizedString»=»@c:\Windows\system32\Macromed\Flash\FlashUtil10b.exe,-101»

[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}Elevation]
«Enabled»=dword:00000001

[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}LocalServer32]
@=»c:\Windows\system32\Macromed\Flash\FlashUtil10b.exe»

[HKEY_USERSSOFTWAREClassesCLSID{0BE09CC1-42E0-11DD-AE16-0800200C9A66}TypeLib]
@=»{FAB3E735-69C7-453B-A446-B6823C6DF1C9}»

[HKEY_USERSSOFTWAREClassesCLSID{1171A62F-05D2-11D1-83FC-00A0C9089C5A}]
@Denied: (A 2) (Everyone)
@=»FlashProp Class»

[HKEY_USERSSOFTWAREClassesCLSID{1171A62F-05D2-11D1-83FC-00A0C9089C5A}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash9d.ocx»
«ThreadingModel»=»Apartment»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=»Shockwave Flash Object»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx»
«ThreadingModel»=»Apartment»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}MiscStatus]
@=»0″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ProgID]
@=»ShockwaveFlash.ShockwaveFlash.10″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx, 1″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}TypeLib]
@=»{D27CDB6B-AE6D-11cf-96B8-444553540000}»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}Version]
@=»1.0″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB6E-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
@=»ShockwaveFlash.ShockwaveFlash»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@=»Macromedia Flash Factory Object»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}InprocServer32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx»
«ThreadingModel»=»Apartment»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ProgID]
@=»FlashFactory.FlashFactory.1″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}ToolboxBitmap32]
@=»c:\Windows\system32\Macromed\Flash\Flash10b.ocx, 1″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}TypeLib]
@=»{D27CDB6B-AE6D-11cf-96B8-444553540000}»

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}Version]
@=»1.0″

[HKEY_USERSSOFTWAREClassesCLSID{D27CDB70-AE6D-11cf-96B8-444553540000}VersionIndependentProgID]
@=»FlashFactory.FlashFactory»

[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}]
@Denied: (A 2) (Everyone)
@=»IFlashBroker2″

[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}ProxyStubClsid32]
@=»{00020424-0000-0000-C000-000000000046}»

[HKEY_USERSSOFTWAREClassesInterface{DDF4CE26-4BDA-42BC-B0F0-0E75243AD285}TypeLib]
@=»{FAB3E735-69C7-453B-A446-B6823C6DF1C9}»
«Version»=»1.0»

[HKEY_USERSSOFTWAREClassesTypeLib{D27CDB6B-AE6D-11CF-96B8-444553540000}]
@Denied: (A 2) (Everyone)

[HKEY_USERSSOFTWAREClassesTypeLib{D27CDB6B-AE6D-11CF-96B8-444553540000}1.0]
@=»Shockwave Flash»

[HKEY_USERSSOFTWAREClassesTypeLib{FAB3E735-69C7-453B-A446-B6823C6DF1C9}]
@Denied: (A 2) (Everyone)
@=»»

[HKEY_USERSSOFTWAREClassesTypeLib{FAB3E735-69C7-453B-A446-B6823C6DF1C9}1.0]
@=»FlashBroker»

[HKEY_USERSSYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000

[HKEY_USERSSYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0001AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000001
«MSCurrentCountry»=dword:00000000

[HKEY_USERSSYSTEMControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000

[HKEY_USERSSYSTEMControlSet002ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0002AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000c4

[HKEY_USERSSYSTEMControlSet003ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000

[HKEY_USERSSYSTEMControlSet003ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}0002AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
«MSCurrentCountry»=dword:000000c4
.
Completion time: 2009-04-30 20:09
ComboFix-quarantined-files.txt 2009-04-30 16:09

Pre-Run: 2 341 642 240 байт свободно
Post-Run: 2 164 785 152 байт свободно

258

Gmer:

GMER 1.0.15.14972 — http://www.gmer.net
Rootkit scan 2009-04-30 19:48:17
Windows 6.0.6000

—- System — GMER 1.0.15 —-

INT 0x06 ??C:Windowssystem32driversHaspnt.sys 8E44716D
INT 0x0E ??C:Windowssystem32driversHaspnt.sys 8E446FC2

—- User code sections — GMER 1.0.15 —-

.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxIndirectParamW 75A214DA 5 Bytes JMP 715BFEBF C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxExA 75A3570D 5 Bytes JMP 715BFE06 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxParamA 75A365BF 5 Bytes JMP 715BFE84 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxIndirectW 75A3F1B3 5 Bytes JMP 714515DA C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxParamW 75A4129F 5 Bytes JMP 7142F205 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!DialogBoxIndirectParamA 75A629B1 5 Bytes JMP 715BFEFA C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxIndirectA 75A6FAB7 5 Bytes JMP 715BFE40 C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:Program FilesInternet Exploreriexplore.exe[2392] USER32.dll!MessageBoxExW 75A6FBB1 5 Bytes JMP 715BFDCC C:Windowssystem32IEFRAME.dll (Internet Explorer/Microsoft Corporation)

—- User IAT/EAT — GMER 1.0.15 —-

IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCloneImage] [73F7FE0C] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDrawImageRectI] [73F4C53D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [73F3A31F] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipSetCompositingMode] [73F3CBEF] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateFromHDC] [73F38AAA] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [73F4DAB8] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipGetImageHeight] [73F37D8D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipGetImageWidth] [73F37CF4] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDisposeImage] [73F36A4E] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [73FCBE7C] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [73F58A5E] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipDeleteGraphics] [73F390CD] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipFree] [73F42248] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipAlloc] [73F42273] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdiplusShutdown] [73F47724] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdiplusStartup] [73F47546] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:WindowsExplorer.EXE[452] @ C:WindowsExplorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73F7861D] C:WindowsWinSxSx86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16386_none_9ea0ac9ec96e7127gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

—- Devices — GMER 1.0.15 —-

AttachedDevice Driverkbdclass DeviceKeyboardClass0 Wdf01000.sys (Динамический WDF/Microsoft Corporation)

Device Driverhardlock DeviceHLVol haspflt.sys

AttachedDevice Driverkbdclass DeviceKeyboardClass1 Wdf01000.sys (Динамический WDF/Microsoft Corporation)

Device Driverhardlock DeviceFNT0 haspflt.sys

AttachedDevice Drivertdx DeviceTcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice Drivertdx DeviceUdp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice FileSystemfastfat Fat fltmgr.sys (Диспетчер фильтров файловых систем Майкрософт/Microsoft Corporation)

—- Threads — GMER 1.0.15 —-

Thread System [4:352] 861B97A0
Thread System [4:360] 861B97A0
Thread System [4:364] 861FAA30
Thread System [4:368] 861FAA30
Thread System [4:376] 861FAA30

—- Registry — GMER 1.0.15 —-

Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 1?2?3?
Reg HKLMSYSTEMControlSet001ServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 2?3?
Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft 006to004 1?2?3?4?
Reg HKLMSYSTEMCurrentControlSetServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMCurrentControlSetServicesLanmanServerShares@354>0420404O4 ?0404?4:0404 CSCFlags=2048?MaxUses=4294967295?Path=D:????? ??????Permissions=0?Remark=?ShareName=????? ??????Type=0?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@210454A4?4@4>0424>0444=4>0454 A0454B0450424>0454 ?4>0444:4;4N4G0454=480454 Intel(R) PRO/Wireless 0039004005ABG 1?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0424>4 Bluetooth (?4@4>4B4>4:4>4;4 RFCOMM TDI) 1?2?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@#4A4B4@4>494A4B0420404 Bluetooth (;484G4=4>494 A0454B484) 1?2?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft ISATAP 2?3?
Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@200440404?4B0454@4 Microsoft 006to004 1?2?3?4?
Reg HKLMSYSTEMControlSet003ServicesBTHPORTParametersKeys01bfc13f1a0
Reg HKLMSYSTEMControlSet003ServicesLanmanServerShares@354>0420404O4 ?0404?4:0404 CSCFlags=2048?MaxUses=4294967295?Path=D:????? ??????Permissions=0?Remark=?ShareName=????? ??????Type=0?

—- EOF — GMER 1.0.15 —-

Буду ждать Вашего вердикта. Спасибо за уделяемое время! 🙂

[Andrey777]

Здравствуйте, Валерий.
Программа Enh.exe — это, похоже, программа управления Touchpad-ом (у меня ноутбук), она была изначально в автозагрузке.
Вот отчет онлайн Касперского:

28 Апрель 2009 г.
Операционная система: Microsoft Windows Vista Home Premium Edition, 32-bit (build 6000)
Версия Kaspersky Online Scanner: 7.0.26.13
Последнее обновление баз: Monday, April 27, 2009 20:31:12
Количество записей в базах: 2084022

Параметры проверки
проверять, используя следующие базы расширенные
Проверять архивы да
Проверять почтовые базы да

Область проверки Мой компьютер
C:
D:
E:
F:

Статистика проверки
Проверено объектов 131498
Обнаружено угроз 1
Обнаружено зараженных объектов 1
Обнаружено подозрительных объектов 0
Время проверки 02:28:41

Имя файла Имя угрозы Количество угроз
C:UsersАндрейAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OCI9I4SLindex[2].htm Зараженный: Trojan.JS.Agent.zp 1

Выбранная область проверена.

В критических областях он ничего не нашел.

Пока не стал убивать трояна, но не думаю, что только из-за него проблемы, так как после их возникновения я все временные файлы эксплорера удалял. Жду Ваших рекомендаций. 🙂

[Автор]

Сообщения