Созданные ответы форума
-
Сообщения
-
Доброго времени суток.
Рекламный модуль появляется при загрузке браузера (Причем изначально запускался и в Explorer и в Opera) после первого использования ComboFix модуль стал запускаться только в Opera и не на всех страницах браузера.
Заранее спасибо за ответComboFix 09-06-18.02 — Котика 20.06.2009 8:02.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2559.2156 [GMT 4:00]
Running from: c:documents and settingsКотикаРабочий столComboFix.exe
AV: Антивирусная система Eset NOD32 2.70 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2009-05-20 to 2009-06-20 )))))))))))))))))))))))))))))))
.2009-06-17 10:26 . 2009-06-17 10:26
d
w- C:rsit
2009-06-16 16:18 . 2009-06-16 16:18
d
w- c:documents and settingsКотикаApplication DataMalwarebytes
2009-06-16 16:18 . 2009-05-26 09:20 40160 —-a-w- c:windowssystem32driversmbamswissarmy.sys
2009-06-16 16:18 . 2009-06-16 16:18
d
w- c:documents and settingsAll UsersApplication DataMalwarebytes
2009-06-16 16:18 . 2009-05-26 09:19 19096 —-a-w- c:windowssystem32driversmbam.sys
2009-06-16 16:18 . 2009-06-16 16:18
d
w- c:program filesMalwarebytes’ Anti-Malware
2009-06-16 15:51 . 2009-06-16 16:03
d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2009-06-16 15:37 . 2009-06-16 15:37
d
w- c:windowssystem32wbemsnmp
2009-06-16 15:37 . 2009-06-16 15:37
d
w- c:windowssystem32xircom
2009-06-16 15:37 . 2009-06-16 15:37
d
w- c:windowsmsagent
2009-06-16 15:37 . 2009-06-16 15:37
d
w- c:program filesmicrosoft frontpage
2009-06-16 13:47 . 2004-08-17 12:05 62464 —-a-w- c:windowssystem32rdpclip.exe
2009-06-14 20:36 . 2009-06-14 20:35 410984 —-a-w- c:windowssystem32deploytk.dll
2009-06-14 20:35 . 2009-06-14 20:35
d
w- c:program filesJava
2009-06-14 20:35 . 2009-06-14 20:35
d
w- c:documents and settingsAll UsersApplication DataMcAfee
2009-06-14 20:34 . 2009-06-14 20:34 152576 —-a-w- c:documents and settingsКотикаApplication DataSunJavajre1.6.0_14lzma.dll
2009-06-13 14:19 . 2009-06-15 18:26
d
w- C:SuperAX
2009-06-11 17:46 . 2009-06-11 17:46
d
w- c:documents and settingsКотикаLocal SettingsApplication DataWinamp Toolbar
2009-06-11 16:15 . 2009-06-11 16:15
d
w- c:program filesWinamp Toolbar
2009-06-11 16:15 . 2009-06-11 16:15
d
w- c:documents and settingsAll UsersApplication DataWinamp Toolbar
2009-05-22 22:03 . 2009-05-22 22:39
d
w- c:program filesИгры Turbogames.ru
2009-05-22 22:01 . 2009-05-22 22:40
d
w- c:program filesTurbogames.ru
2009-05-22 16:08 . 2009-05-22 16:08
d
w- c:program filesMediaHouse
2009-05-21 21:10 . 2009-05-21 21:10
d
w- c:documents and settingsAll UsersApplication DataКурортный сезон
2009-05-21 21:10 . 2009-05-21 21:10
d
w- c:documents and settingsКотикаApplication DataКурортный сезон
2009-05-21 14:00 . 2009-05-21 14:00
d
w- c:program filesНовый Диск.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-20 03:42 . 2008-10-15 18:09
d
w- c:documents and settingsКотикаApplication DataSkype
2009-06-19 20:00 . 2008-12-13 23:38
d
w- c:documents and settingsКотикаApplication DataskypePM
2009-06-15 19:52 . 2008-10-20 18:32
d
w- c:program filesб
2009-06-15 18:32 . 2008-10-14 20:19
d—h—w- c:program filesInstallShield Installation Information
2009-05-30 17:58 . 2001-10-20 22:00 70336 —-a-w- c:windowssystem32perfc019.dat
2009-05-30 17:58 . 2001-10-20 22:00 432796 —-a-w- c:windowssystem32perfh019.dat
2009-05-14 10:04 . 2008-12-17 14:24
d
w- c:program filesWebalta
2009-05-12 09:45 . 2008-12-19 17:28
d
w- c:program filesAlawar.ru
2009-05-12 07:13 . 2009-05-12 07:13
d
w- c:documents and settingsКотикаApplication DataSecretIslandRus
2009-05-12 07:13 . 2008-12-19 17:28
d
w- c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-04-25 21:37 . 2009-04-25 21:37
d
w- c:documents and settingsКотикаApplication DataiWin
2009-03-31 16:22 . 2009-03-31 16:22 1915520 -c—a-w- c:documents and settingsКотикаApplication DataMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2009-03-24 18:46 . 2008-10-15 18:17 17072 —-a-w- c:documents and settingsКотикаLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«Skype»=»d:skypePhoneSkype.exe» [2009-04-16 24264488][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-02-13 7557120]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-02-13 86016]
«nod32kui»=»c:program filesEsetnod32kui.exe» [2008-11-16 949376]
«NeroCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-12-09 4428472]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2009-06-14 148888]
«nwiz»=»nwiz.exe» — c:windowssystem32nwiz.exe [2006-02-13 1519616][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«tscuninstall»=»c:windowssystem32tscupgrd.exe» [2004-08-17 44544][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigservices]
«Bonjour Service»=2 (0x2)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\QIP Infium\infium.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=
«c:\Program Files\Opera\opera.exe»=
«d:\Skype\Phone\Skype.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«67:UDP»= 67:UDP:DHCP Discovery ServiceR0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [13.10.2005 17:46 35328]
R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [16.11.2008 19:22 15424]
S2 WebaltaController;Webalta Controller;c:program filesWebaltaWebaltaUpdaterService.exe [14.10.2008 16:16 97794]
S3 npkycryp;npkycryp;??f:шок5 хбsystemnpkycryp.sys —> f:шок5 хбsystemnpkycryp.sys [?]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.turbogames.ru/
mStart Page =
uInternet Connection Wizard,ShellNext = hxxp://www.icq.com/register
IE: &Winamp Search — c:documents and settingsAll UsersApplication DataWinamp ToolbarieToolbarresourcesen-USlocalsearch.html
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~1OFFICE11EXCEL.EXE/3000
IE: Webalta — Добавить в Анти-Баннер — c:program filesWebaltaextentionsWebalta_antiban.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
LSP: c:windowssystem32imon.dll
TCP: {BD69071A-7F57-4242-BB4D-4659181669F0} = 213.234.192.8,85.21.192.3
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 08:03
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(964)
c:windowssystem32imon.dll
c:program filesEsetpr_imon.dll— — — — — — — > ‘explorer.exe'(3148)
c:windowssystem32msi.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Completion time: 2009-06-20 8:06
ComboFix-quarantined-files.txt 2009-06-20 04:06
ComboFix2.txt 2009-06-16 20:13Pre-Run: 2 435 502 080 байт свободно
Post-Run: 2 420 785 152 байт свободно130 — E O F — 2009-02-11 00:00
