SPYWARE-RU.COM

Созданные ответы форума

Просмотр 5 сообщений - с 1 по 5 (из 5 всего)

Автор

Сообщения
30 ноября, 2009 в 5:54 пп в ответ на: Порн банер+ #27187
kyst
Participant
- Темы:1
- Сообщений:6
Да и если нет возможности найти вот ссылка (на rundll32.exe)
http://forum.winall.ru/index.php?showtopic=25956
29 ноября, 2009 в 10:33 пп в ответ на: Порн банер+ #27186
kyst
Participant
- Темы:1
- Сообщений:6
Опять я.
Можете не обращать внимания на предыдущее сообщение.
Я и так уже всё вылечил.
Рецепт:
Process Explorer ( к сожалению ссылки не помню)
Unlocker
— эти две программы качаем со второго компа (с зараженного не даст открыть).
Первой находим процес который запускает банер, второй удаляем (у меня rundll.exe).
Ага, банера нет но ничего не работает (просит вставить диск не вставляйте).
Перезагрузка….
За те первые секунды после загрузки ( когда хоть интернет работает) качаем:
http://www.freedrweb.com/cureit/
проверяем на вирусы — удаляем(у меня 3 трояна.exe — system32 и 6 BackDoor.Tdss.565 .dll — windows/temp);
http://www.razblocker.narod.ru/
запускаем все не работающие процессы.
Перезагрузка….
Ну и всё работает. (у меня , надеюсь у вас тоже)
P.S.: спасибо cman и Sho? за помощь.
29 ноября, 2009 в 8:22 пп в ответ на: Порн банер+ #27185
kyst
Participant
- Темы:1
- Сообщений:6
С помощью невероятных манипуляций добился этих двух файлов:
info.txt logfile of random’s system information tool 1.06 2009-11-26 22:11:46

======Uninstall list======

—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
Adobe Acrobat 5.0—>C:WINDOWSISUNINST.EXE -f»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.isu» -c»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.dll»
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Reader 9.2—>MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A92000000001}
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
AXIS Media Control Embedded—>rundll32 «C:Program FilesAxis CommunicationsAXIS Media Control EmbeddedAxisMediaControlEmb.dll»,UninstallMe
CorelDRAW Graphics Suite X4 — Capture—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF012}
CorelDRAW Graphics Suite X4 — Content—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF016}
CorelDRAW Graphics Suite X4 — Draw—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF013}
CorelDRAW Graphics Suite X4 — Filters—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF017}
CorelDRAW Graphics Suite X4 — FontNav—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF019}
CorelDRAW Graphics SUite X4 — ICA—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF010}
CorelDRAW Graphics Suite X4 — IPM—>MsiExec.exe /I{9D0798D0-AF6C-4E62-94B1-AEBF1A43E00A}
CorelDRAW Graphics Suite X4 — Lang RU—>MsiExec.exe /I{C4CBA661-9184-48E3-86C4-7F27F6849749}
CorelDRAW Graphics Suite X4 — PP—>MsiExec.exe /I{7F05E704-30A6-421A-97A7-8EEB1C7FF014}
CorelDRAW Graphics Suite X4 — VBA—>MsiExec.exe /I{BF439B41-0252-48DE-8B8B-0430CB26A181}
CorelDRAW Graphics Suite X4—>MsiExec.exe /I{44A27085-0616-4181-A0C3-81C7ECA17F73}
CorelDRAW(R) Graphics Suite X4 — Windows Shell Extension—>c:Program FilesCommon FilesCorelSharedShell ExtensionUninst.exe
CorelDRAW(R) Graphics Suite X4 — Windows Shell Extension—>MsiExec.exe /X{CE2DA11A-917F-4CF5-AB55-755EC115DD10}
CorelDRAW(R) Graphics Suite X4—>c:Program FilesCorelCorelDRAW Graphics Suite X4SetupSetupARP.exe /arp
Google Earth—>MsiExec.exe /X{CC016F21-3970-11DE-B878-005056806466}
Google Update Helper—>MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
HashTab 2.1.0—>C:WINDOWSsystem32ShellExthtdel32.bat
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
HP Customer Participation Program 7.0—>C:Program FilesHPDigital ImagingExtCapUninstallhpzscr01.exe -datfile hpqhsc01.dat
HP Imaging Device Functions 7.0—>C:Program FilesHPDigital ImagingDeviceManagementhpzscr01.exe -datfile hpqbud01.dat
HP Photosmart and Deskjet 7.0 Software (rus)—>C:Program FilesHPDigital Imaging{D2A3C9D5-0B56-4656-8277-7EDC65D62B6E}setuphpzscr01.exe -datfile hphscr12.dat -showdisconnect -forcereboot
HP Photosmart Premier Software 6.5—>C:Program FilesHPDigital Imaginguninstallhpzscr01.exe -datfile hpqscr01.dat
HP Software Update—>MsiExec.exe /X{BB85ED9C-AFC9-43BD-B8DC-258C3C7DF72E}
HP Solution Center 7.0—>C:Program FilesHPDigital ImagingeSupporthpzscr01.exe -datfile hpqbud05.dat
ICQ6.5—>»C:Program FilesInstallShield Installation Information{60DE4033-9503-48D1-A483-7846BD217CA9}setup.exe» -runfromtemp -l0x0009 -removeonly
ioCentre—>C:Program FilesInstallShield Installation Information{A2B4621B-CEB9-4E44-95FD-3500D4DB3727}Setup.exe -runfromtemp -l0x0019 -removeonly
Java(TM) 6 Update 7—>MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
K-Lite Codec Pack 5.1.4 (Full) BETA—>»C:Program FilesK-Lite Codec Packunins000.exe»
Last Chaos—>»D:Last Chaosunins000.exe»
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Office Access MUI (Russian) 2007—>MsiExec.exe /X{90120000-0015-0419-0000-0000000FF1CE}
Microsoft Office Enterprise 2007—>»C:Program FilesCommon FilesMicrosoft SharedOFFICE12Office Setup Controllersetup.exe» /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007—>MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (Russian) 2007—>MsiExec.exe /X{90120000-0016-0419-0000-0000000FF1CE}
Microsoft Office Groove MUI (Russian) 2007—>MsiExec.exe /X{90120000-00BA-0419-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (Russian) 2007—>MsiExec.exe /X{90120000-0044-0419-0000-0000000FF1CE}
Microsoft Office OneNote MUI (Russian) 2007—>MsiExec.exe /X{90120000-00A1-0419-0000-0000000FF1CE}
Microsoft Office Outlook MUI (Russian) 2007—>MsiExec.exe /X{90120000-001A-0419-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (Russian) 2007—>MsiExec.exe /X{90120000-0018-0419-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007—>MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007—>MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Russian) 2007—>MsiExec.exe /X{90120000-001F-0419-0000-0000000FF1CE}
Microsoft Office Proof (Ukrainian) 2007—>MsiExec.exe /X{90120000-001F-0422-0000-0000000FF1CE}
Microsoft Office Proofing (Russian) 2007—>MsiExec.exe /X{90120000-002C-0419-0000-0000000FF1CE}
Microsoft Office Publisher MUI (Russian) 2007—>MsiExec.exe /X{90120000-0019-0419-0000-0000000FF1CE}
Microsoft Office Shared MUI (Russian) 2007—>MsiExec.exe /X{90120000-006E-0419-0000-0000000FF1CE}
Microsoft Office Word MUI (Russian) 2007—>MsiExec.exe /X{90120000-001B-0419-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.5—>»C:WINDOWS$NtUninstallWudf01005$spuninstspuninst.exe»
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MSXML 4.0 SP2 (KB936181)—>MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser—>MsiExec.exe /I{AEB9948B-4FF2-47C9-990E-47014492A0FE}
Nokia Connectivity Cable Driver—>MsiExec.exe /X{972B1D9B-0EAD-49E8-B7D6-3B83FD5665B1}
Nokia PC Suite—>C:Documents and SettingsAll Users.WINDOWSApplication DataInstallations{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}Nokia_PC_Suite_683_rel_14_1_EA.exe /LANG=»1049″
Nokia PC Suite—>MsiExec.exe /I{57A48477-92F0-4C1F-ADF9-4806C4EC3CF2}
Path2Clipboard 1.0.7.67—>C:WINDOWSsystem32ShellExtP2Cdel.bat
PC Connectivity Solution—>MsiExec.exe /I{066D65EA-ED53-44E4-A96A-F81B6E409D2E}
Registry Winner 5.0—>»C:Program FilesRegistry Winnerunins000.exe»
Skype™ 4.0—>MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spelling Dictionaries Support For Adobe Reader 9—>MsiExec.exe /I{AC76BA86-7AD7-5464-3428-900000000004}
Terayon DOCSIS Modem—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{C98F2FE6-5AF5-11D6-8209-00D0B701C7B5}Setup.exe» -l0x9
Total Commander (Remove or Repair)—>C:Program Filestotalcmdtcuninst.exe
Unlocker 1.8.8—>C:Program FilesUnlockeruninst.exe
Vista Drive Icon—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFVistaDrv.inf,Uninstall
WebMoney Agent—>C:Program FilesWebMoney Agentuninst_wmagent.exe
WebMoney Keeper Classic 3.8.0.0—>»D:WebMoneyUninstall.exe» «D:WebMoneyinstall.log» -u
Winamp—>»C:Program FilesWinampUninstWA.exe»
Windows Driver Package — Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)—>C:PROGRA~1DIFXD6ACC4BE676423A2B130B78A4B627FC457D98997dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccswpddri_039E7E24575DBAE6A389611AF28F4EB97729D33Epccswpddriver.inf
Windows Driver Package — Nokia Modem (02/15/2007 3.1)—>C:PROGRA~1DIFXD6ACC4BE676423A2B130B78A4B627FC457D98997dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccs_bluet_8B37DC72918CCD58A6EC20373AF6242B037A293Bpccs_bluetooth.inf
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Дополнительные апплеты панели управления—>rundll32.exe advpack.dll,LaunchINFSection CPLDAPU.inf,uninstall
Пакет драйверов Windows — Nokia Modem (11/03/2006 6.82.0.1)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokbtmdm_4EFFAAE27A08EDFDE145390033D8EF099DA65567nokbtmdm.inf

======Hosts File======

127.0.0.1 99.189.54
127.0.0.1 99.189.52
127.0.0.1 99.14.103
127.0.0.1 98.223.73
127.0.0.1 97.80.137
127.0.0.1 95.134.16
127.0.0.1 95.133.8.
127.0.0.1 95.133.23
127.0.0.1 95.133.23
127.0.0.1 95.133.14

======Security center information======

AV: Doctor Web Anti-Virus (disabled)
FW: COMODO Firewall Pro

======System event log======

Computer Name: KRG-COMP
Event Code: 10005
Message: Ошибка DCOM «%1058» при попытке запуска службы SENS с аргументами «»
для запуска сервера:
{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}

Record Number: 13498
Source Name: DCOM
Time Written: 20091114224959.000000+120
Event Type: error
User: NT AUTHORITYSYSTEM

Computer Name: KRG-COMP
Event Code: 10005
Message: Ошибка DCOM «%1058» при попытке запуска службы SENS с аргументами «»
для запуска сервера:
{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}

Record Number: 13497
Source Name: DCOM
Time Written: 20091114224958.000000+120
Event Type: error
User: NT AUTHORITYSYSTEM

Computer Name: KRG-COMP
Event Code: 2481
Message: Неправильная конфигурация службы UPS.

Record Number: 13496
Source Name: UPS
Time Written: 20091114224957.000000+120
Event Type: error
User:

Computer Name: KRG-COMP
Event Code: 45062
Message: CRT invalid display type

Record Number: 13495
Source Name: ati2mtag
Time Written: 20091114224954.000000+120
Event Type: error
User:

Computer Name: KRG-COMP
Event Code: 10005
Message: Ошибка DCOM «%1058» при попытке запуска службы wuauserv с аргументами «»
для запуска сервера:
{E60687F7-01A1-40AA-86AC-DB1CBF673334}

Record Number: 13483
Source Name: DCOM
Time Written: 20091113221748.000000+120
Event Type: error
User: KRG-COMPАдминистратор

=====Application event log=====

Computer Name: KRG-COMP
Event Code: 4353
Message: Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.
Record Number: 7111
Source Name: EventSystem
Time Written: 20091118193330.000000+120
Event Type: warning
User:

Computer Name: KRG-COMP
Event Code: 4356
Message: Системе событий COM+ не удалось создать копию подписчика partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}. CoGetObject было возвращено значение HRESULT 80070422.
Record Number: 7110
Source Name: EventSystem
Time Written: 20091118193330.000000+120
Event Type: warning
User:

Computer Name: KRG-COMP
Event Code: 4353
Message: Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.
Record Number: 7109
Source Name: EventSystem
Time Written: 20091118193330.000000+120
Event Type: warning
User:

Computer Name: KRG-COMP
Event Code: 4356
Message: Системе событий COM+ не удалось создать копию подписчика partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{D3938AB0-5B9D-11D1-8DD2-00AA004ABD5E}. CoGetObject было возвращено значение HRESULT 80070422.
Record Number: 7108
Source Name: EventSystem
Time Written: 20091118193330.000000+120
Event Type: warning
User:

Computer Name: KRG-COMP
Event Code: 4353
Message: Система событий COM+ попыталась запустить событие EventObjectChange::ChangedSubscription, однако получила обратно неверный код возврата. Значение HRESULT: 80040201.
Record Number: 7105
Source Name: EventSystem
Time Written: 20091118090030.000000+120
Event Type: warning
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=C:Program FilesPC Connectivity Solution;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=6
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 8 Stepping 0, AuthenticAMD
«PROCESSOR_REVISION»=0800
«NUMBER_OF_PROCESSORS»=1
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

EOF

и второй:
Logfile of random’s system information tool 1.06 (written by random/random)
Run by Администратор at 2009-11-26 22:11:34
Microsoft Windows XP Professional Service Pack 3
System drive C: has 3 GB (34%) free of 9 GB
Total RAM: 511 MB (50% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:44, on 26.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32SCardSvr.exe
C:WINDOWSSystem32alg.exe
C:Program FilesGoogleUpdateGoogleUpdate.exe
C:Program FilesGoogleUpdate1.2.183.13GoogleCrashHandler.exe
C:WINDOWSsystem32HPZipm12.exe
c:Program FilesCommon FilesProtexisLicense ServicePsiService_2.exe
C:WINDOWSSystem32vssvc.exe
C:WINDOWSsystem32servises.exe
C:Program FilesWebMoney Agentwmagent.exe
C:Program FilesUnlockerUnlockerAssistant.exe
C:WINDOWSsystem32servises.exe
C:WINDOWSsystem32servises.exe
C:Program FilesPunto Switcherps.exe
C:Program FilesDownload Masterdmaster.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32servises.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsАдминистратор.KRG-COMPРабочий столRSIT.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:Program Filestrend microАдминистратор.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32sdra64.exe,
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll (file missing)
O2 — BHO: AcroIEHelperStub — {18DF081C-E8AD-4283-A596-FA578C2EBDC3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll
O2 — BHO: Web-ценник v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1WEBCEN~1.DLL
O2 — BHO: Groove GFS Browser Helper — {72853161-30C5-4D22-B7F9-0BBC1D38A37E} — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_07binssv.dll
O4 — HKLM..Run: [wmagent.exe] «C:Program FilesWebMoney Agentwmagent.exe»
O4 — HKLM..Run: [UnlockerAssistant] «C:Program FilesUnlockerUnlockerAssistant.exe»
O4 — HKLM..Run: [servises] C:WINDOWSsystem32servises.exe
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherps.exe
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [servises] C:WINDOWSsystem32servises.exe
O4 — HKLM..PoliciesExplorerRun: [servises] C:WINDOWSsystem32servises.exe
O4 — HKCU..PoliciesExplorerRun: [servises] C:WINDOWSsystem32servises.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User ‘Default user’)
O7 — HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_07binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_07binssv.dll
O9 — Extra button: Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra ‘Tools’ menuitem: &Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra button: Web-ценник v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1WEBCEN~1.DLL
O9 — Extra ‘Tools’ menuitem: Web-ценник v2.0 — {39AA6D29-4236-4F25-A36A-3410EF5283D9} — C:PROGRA~1PIVIMM~1WEBCEN~1.DLL
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6.5ICQ.exe
O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6.5ICQ.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O16 — DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) — http://cpm12cam.dpm.ukrtelecom.ua/activex/AMC.cab
O18 — Protocol: grooveLocalGWS — {88FED34C-F0CA-4636-A375-3CB6248B04CD} — C:PROGRA~1MICROS~2Office12GR99D3~1.DLL
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — AppInit_DLLs: C:WINDOWSsystem32xVOSt.dll
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба оновлення Google Update (gupdate1ca14f1c633cb7c) (gupdate1ca14f1c633cb7c) — Google Inc. — C:Program FilesGoogleUpdateGoogleUpdate.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Pml Driver HPZ12 — HP — C:WINDOWSsystem32HPZipm12.exe
O23 — Service: Protexis Licensing V2 (PSI_SVC_2) — Protexis Inc. — c:Program FilesCommon FilesProtexisLicense ServicePsiService_2.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 8285 bytes

======Scheduled tasks folder======

C:WINDOWStasksGoogleUpdateTaskMachineCore.job
C:WINDOWStasksGoogleUpdateTaskMachineUA.job
C:WINDOWStasksRegistry Winner Schedule.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{39AA6D29-4236-4F25-A36A-3410EF5283D9}]
Web-ценник v2.0 — C:PROGRA~1PIVIMM~1WEBCEN~1.DLL [2009-08-05 697856]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class — C:Program FilesJavajre1.6.0_07binssv.dll [2008-06-10 509328]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«wmagent.exe»=C:Program FilesWebMoney Agentwmagent.exe [2009-06-16 209376]
«UnlockerAssistant»=C:Program FilesUnlockerUnlockerAssistant.exe [2009-10-26 15872]
«servises»=C:WINDOWSsystem32servises.exe [2009-10-09 55808]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
«servises»=C:WINDOWSsystem32servises.exe [2009-10-09 55808]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=C:Program FilesPunto Switcherps.exe [2007-01-25 201728]
«Download Master»=C:Program FilesDownload Masterdmaster.exe [2007-09-12 3253248]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2009-01-07 17408]
«servises»=C:WINDOWSsystem32servises.exe [2009-10-09 55808]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
«servises»=C:WINDOWSsystem32servises.exe [2009-10-09 55808]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLS»=»C:WINDOWSsystem32xVOSt.dll»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2008-02-26 126976]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2009-01-07 133632]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
«{B5A7F190-DDA6-4420-B3BA-52453494E6CD}»=C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL [2006-10-26 2210608]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«DisableTaskMgr»=1
«DisableRegistryTools»=1

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoThumbnailCache»=1
«NoSMConfigurePrograms»=1
«NoSMHelp»=1

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«C:Program FilesSkypePhoneSkype.exe»=»C:Program FilesSkypePhoneSkype.exe:*:Enabled:Skype»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f475dc0d-3349-11de-8516-00e06fda02e1}]
shellAutoRuncommand — Rundll32.exe .RECYCLERXRkQlt.dll,Setup

======List of files/folders created in the last 1 months======

2009-11-27 20:10:29 —-A—- C:WINDOWSntbtlog.txt
2009-11-26 22:11:36 —-D—- C:Program Filestrend micro
2009-11-26 22:11:34 —-D—- C:rsit
2009-11-25 11:22:52 —-HD—- C:WINDOWSsystem32GroupPolicy
2009-11-24 23:56:08 —-D—- C:Program FilesUnlocker
2009-10-30 21:40:01 —-D—- C:Documents and SettingsАдминистратор.KRG-COMPApplication DataFDRLab

======List of files/folders modified in the last 1 months======

2011-05-26 08:23:58 —-SH—- C:boot.ini
2011-05-26 08:23:58 —-A—- C:WINDOWSwin.ini
2011-05-26 08:23:57 —-A—- C:WINDOWSsystem.ini
2009-11-27 21:39:27 —-D—- C:WINDOWSPrefetch
2009-11-27 21:03:20 —-D—- C:WINDOWSsystem32MsDtc
2009-11-27 21:03:20 —-D—- C:WINDOWSsystem32config
2009-11-27 21:03:20 —-D—- C:WINDOWSrepair
2009-11-27 21:03:20 —-D—- C:WINDOWSDebug
2009-11-27 21:03:20 —-D—- C:Program FilesWinRAR
2009-11-27 21:03:20 —-D—- C:Program Filestotalcmd
2009-11-27 21:03:20 —-D—- C:Program FilesK-Lite Codec Pack
2009-11-27 20:25:01 —-SD—- C:WINDOWSDownloaded Program Files
2009-11-27 19:42:27 —-SHD—- C:System Volume Information
2009-11-26 22:11:36 —-RD—- C:Program Files
2009-11-26 22:10:14 —-A—- C:WINDOWSSchedLgU.Txt
2009-11-26 21:24:00 —-D—- C:WINDOWSTEMP
2009-11-26 20:44:31 —-D—- C:WINDOWS
2009-11-25 18:32:36 —-D—- C:WINDOWSSoftwareDistribution
2009-11-25 18:32:12 —-D—- C:WINDOWSsystem32drivers
2009-11-25 18:31:32 —-D—- C:WINDOWSsystem32spool
2009-11-25 11:22:52 —-D—- C:WINDOWSsystem32
2009-11-25 11:22:05 —-D—- C:WINDOWSRegistration
2009-11-25 11:21:49 —-D—- C:WINDOWSsystem32NtmsData
2009-11-25 11:14:06 —-D—- C:Documents and SettingsАдминистратор.KRG-COMPApplication DataMacromedia
2009-11-25 11:14:06 —-D—- C:Documents and SettingsАдминистратор.KRG-COMPApplication DataICQ
2009-11-25 11:14:05 —-D—- C:WINDOWSsecurity
2009-11-25 10:52:50 —-D—- C:WINDOWSsystem32CatRoot2
2009-11-24 23:19:26 —-D—- C:Documents and Settings
2009-11-13 22:18:57 —-SHD—- C:WINDOWSInstaller
2009-11-13 22:18:57 —-SD—- C:Documents and SettingsАдминистратор.KRG-COMPApplication DataMicrosoft
2009-11-13 22:18:56 —-HD—- C:Config.Msi
2009-11-13 21:10:02 —-A—- C:WINDOWSwincmd.ini
2009-11-12 21:28:35 —-D—- C:WINDOWSsystem32Restore
2009-11-05 19:07:54 —-D—- C:Documents and SettingsAll Users.WINDOWSApplication DataAdobe
2009-11-05 13:04:05 —-D—- C:Program FilesCommon FilesAdobe
2009-11-05 13:03:50 —-D—- C:Program FilesAdobe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;Драйвер AMD K7 процессора; C:WINDOWSsystem32DRIVERSamdk7.sys [2009-01-07 41984]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2009-01-07 62848]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2008-02-26 2863616]
R3 cmipci;CMI8738/8768 Audio Driver; C:WINDOWSsystem32driverscmipci.sys [2007-11-21 37888]
R3 gHidPnp;USB Device Enhanced Function Driver; C:WINDOWSSystem32DriversgHidPnp.Sys [2006-07-14 14848]
R3 gMouUsb;USB Mouse Device Drv; C:WINDOWSsystem32DRIVERSgMouUsb.sys [2006-07-14 9984]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2009-01-07 10368]
R3 ltmodem5;LT Modem Driver; C:WINDOWSsystem32DRIVERSltmdmnt.sys [2008-07-17 606940]
R3 MODEMCSA;Устройство фильтрации потока Unimodem; C:WINDOWSsystem32driversMODEMCSA.sys [2008-07-17 16128]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2009-01-07 12160]
R3 tj2knd5;Terayon Cable Modem (NDIS); C:WINDOWSsystem32DRIVERStj2knd5.sys [2002-10-14 17616]
R3 tj2kunic;Terayon Cable Modem (WDM); C:WINDOWSsystem32DRIVERStj2kunic.sys [2002-10-14 69680]
R3 usbaudio;Аудио драйвер USB (WDM); C:WINDOWSsystem32driversusbaudio.sys [2008-07-16 60032]
R3 usbccgp;Драйвер универсального родительского устройства USB (Microsoft); C:WINDOWSsystem32DRIVERSusbccgp.sys [2008-07-16 32384]
R3 usbehci;Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера; C:WINDOWSsystem32DRIVERSusbehci.sys [2009-01-07 30336]
R3 usbhub;USB2 концентратор; C:WINDOWSsystem32DRIVERSusbhub.sys [2009-01-07 59520]
R3 usbuhci;Драйвер минипорта Microsoft USB универсального хост-контроллера; C:WINDOWSsystem32DRIVERSusbuhci.sys [2009-01-07 20608]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:WINDOWSsystem32DRIVERSHPZid412.sys [2006-05-16 49664]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:WINDOWSsystem32DRIVERSHPZipr12.sys [2006-05-16 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:WINDOWSsystem32DRIVERSHPZius12.sys [2006-05-16 21568]
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversnmwcd.sys [2007-02-22 137216]
S3 nmwcdc;Nokia USB Generic; C:WINDOWSsystem32driversnmwcdc.sys [2007-02-22 8320]
S3 nmwcdcj;Nokia USB Port; C:WINDOWSsystem32driversnmwcdcj.sys [2007-02-22 12288]
S3 nmwcdcm;Nokia USB Modem; C:WINDOWSsystem32driversnmwcdcm.sys [2007-02-22 12288]
S3 usbprint;Класс принтеров Microsoft USB; C:WINDOWSsystem32DRIVERSusbprint.sys [2008-07-16 25856]
S3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-07-16 26368]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2006-09-15 82688]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 sr;Драйвер фильтра восстановления системы; C:WINDOWSsystem32DRIVERSsr.sys [2009-01-07 73472]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Pml Driver HPZ12;Pml Driver HPZ12; C:WINDOWSsystem32HPZipm12.exe [2006-03-03 69632]
R2 PSI_SVC_2;Protexis Licensing V2; c:Program FilesCommon FilesProtexisLicense ServicePsiService_2.exe [2007-07-24 185632]
R2 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2009-01-07 14336]
S2 gupdate1ca14f1c633cb7c;Служба оновлення Google Update (gupdate1ca14f1c633cb7c); C:Program FilesGoogleUpdateGoogleUpdate.exe [2009-08-04 133104]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_state.exe [2004-07-14 32768]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:Program FilesMicrosoft OfficeOffice12GrooveAuditService.exe [2006-10-26 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:Program FilesCommon FilesMicrosoft SharedOFFICE12ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-18 913408]
S4 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2008-02-26 520192]
S4 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2007-03-26 292864]

EOF

посмотрите пожалуйста.
29 ноября, 2009 в 10:35 дп в ответ на: Порн банер+ #27184
kyst
Participant
- Темы:1
- Сообщений:6
По совету друзей.
Скачал на другом компе две программы:
Process Explorer
Unlocker
1 не требует установки, как раз нам подходит. Запустил с флешки нашёл процесс порн банера.
Эт оказался файл в system 32rundll.exe
Потом удалил его с помощью Unlocker`a.
Вообщем всё прекрасно банера нет, НО всё равно ничего не работает и после удаления этого файла через пару секунд просит вставить диск с виндой—вставляю и банер опять появляется.
Ну повторил операцию заново……теперь хоть банер не мешает.
Продолжение следует. Если ничего не изменится поставлю во вторник 7.
28 ноября, 2009 в 9:11 дп в ответ на: Порн банер+ #27183
kyst
Participant
- Темы:1
- Сообщений:6
О я вижу тема и без меня развивается.

Запустите HijackThis, для этого кликните Пуск, Выполнить, введите
Код: Выделить всё
C:Program Filestrend micro1.exe

Это конечно всё хорошо только что оно запустит если по этому адресу ничего нет.
Автор

Сообщения

Просмотр 5 сообщений - с 1 по 5 (из 5 всего)

kyst

Созданные ответы форума

Добро пожаловать

Поиск

Важные инструкции

Рекламный вирус в Планировщике заданий

Удалить вирус, всплывающие окна и рекламу в Mac OS X

Установлено в соответствии с корпоративным правилом (Удалить из Хрома)

Как сбросить настройки Firefox (Инструкция)

Как удалить вирус с телефона Андроид (Инструкция)

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки