[Landira]

@Valeri wrote:

Здравствуйте, добро пожаловать на Spyware-ru форум.

Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.

* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.

Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.

Вставьте в ваше ответное сообщение свежий RSIT лог.

Здравствуйте! Спасибо большое, что откликнулись… Только я не дождалась Вашего ответа… Flash_Disinfector я уже пробовала. Он не помог. Он удалял файлы autorun с флешки, но через 10 секунд они появлялись вновь… 🙁 Обращение к флоппи продолжалось.

Я запустила ComboFix.exe И он помог!!! Что творилось с компьютером перечислять не буду… 😯 Но я мужественно дождалась финального отчета. Теперь все работает. Explorer запускается и вообще красота!!! 😀 Даже не знаю, вставлять сюда результаты его работы или уже не надо? 🙂
Все же вставлю:

ComboFix 09-11-24.04 — Vitaliy&Daria 25.11.2009 20:24.1.2 — x86
Microsoft Windows XP Home Edition 5.1.2600.2.1251.7.1049.18.3071.2503 [GMT 3:00]
Running from: c:documents and settingsVitaliy
AV: Doctor Web Anti-Virus *On-access scanning disabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
FW: COMODO Firewall Pro *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesEB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.jpg
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsVitaliy&DariaLocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:program filesMail.RuAgentMradllnewmrasearch.dll
c:program filesMicrosoft Common
c:program filesMicrosoft Commonsvchost.exe
c:windowsservices.exe
c:windowssystem32ieuinit.inf
c:windowssystem32msvcrt57.dll
c:windowssystem32sfcfiles.dat
c:windowssystem32twain32
c:windowssystem32twain32local.ds
c:windowssystem32twain32user.ds

Infected copy of c:windowssystem32sfcfiles.dll was found and disinfected
Restored copy from — c:windowssystem32dllcachesfcfiles.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_SFC

((((((((((((((((((((((((( Files Created from 2009-10-25 to 2009-11-25 )))))))))))))))))))))))))))))))
.

2009-11-25 01:37 . 2009-11-25 01:37

---

d

---

w- c:program filesЗоркий Глаз
2009-11-25 01:09 . 2009-11-25 01:11

---

d

---

w- c:program filestrend micro
2009-11-25 01:09 . 2009-11-25 01:09

---

d

---

w- C:rsit
2009-11-12 21:21 . 2009-11-12 21:21

---

d

---

w- c:program filesСказочные блюда с кулинаром Вкусняшкиным
2009-11-04 23:02 . 2009-11-04 23:02

---

d

---

w- c:program filesThe Bat!

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-25 17:17 . 2008-12-01 19:26

---

d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2009-11-25 14:26 . 2008-03-19 02:04

---

d

---

w- c:documents and settingsVitaliy&DariaApplication DataThe Bat!
2009-11-25 01:42 . 2008-03-21 17:23

---

d

---

w- c:documents and settingsVitaliy&DariaApplication DataXnView
2009-11-25 00:01 . 2008-03-19 00:37

---

d

---

w- c:program filesOpera
2009-11-24 23:39 . 2004-08-18 12:00 80604 —-a-w- c:windowssystem32perfc019.dat
2009-11-24 23:39 . 2004-08-18 12:00 477906 —-a-w- c:windowssystem32perfh019.dat
2009-11-17 14:30 . 2009-10-16 19:51 107000 —-a-w- c:windowssystem32driversdwprot.sys
2009-11-05 00:03 . 2009-09-24 20:48

---

d

---

w- c:program filesnLite
2009-10-16 19:50 . 2009-10-16 19:50

---

d

---

w- c:program filesCommon FilesDoctor Web
2009-10-16 19:50 . 2009-07-28 13:23

---

d

---

w- c:documents and settingsAll UsersApplication DataDoctor Web
2009-09-30 18:39 . 2008-03-18 23:57 103536 —-a-w- c:documents and settingsVitaliy&DariaLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-09-24 20:32 . 2008-08-14 19:34 204544 —-a-w- c:documents and settingsLocalServiceLocal SettingsApplication DataFontCache3.0.0.0.dat
2009-04-15 20:24 . 2009-04-15 20:24 1044480 —-a-w- c:program filesoperaprogrampluginslibdivx.dll
2009-04-15 20:24 . 2009-04-15 20:24 200704 —-a-w- c:program filesoperaprogrampluginsssldivx.dll
2008-03-19 18:49 . 2008-03-19 18:49 23 —sha-w- c:windowssystem32cfceb_d.dll
2009-04-08 04:39 . 2009-04-05 14:05 326 —sh—w- c:windowssystem32driversios.sys
.

---

Sigcheck

---

[7] 2004-08-18 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32ReinstallBackups007DriverFilesi386atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32dllcacheatapi.sys
[-] 2004-08-03 19:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . . . c:windowssystem32driversatapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:windowssystem32ReinstallBackups008DriverFilesi386atapi.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2008-05-30 722112]
«H/PC Connection Agent»=»c:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ATIPTA»=»c:program filesATI TechnologiesATI Control Panelatiptaxx.exe» [2005-08-30 344064]
«COMODO Firewall Pro»=»c:program filesComodoFirewallCPF.exe» [2008-03-19 1115728]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-07-27 7975608]
«OSSelectorReinstall»=»c:program filesCommon FilesAcronisAcronis Disk Directoross_reinstall.exe» [2006-04-12 1275413]
«LVCOMSX»=»c:windowssystem32LVCOMSX.EXE» [2005-12-09 225280]
«LogitechCameraAssistant»=»c:program filesLogitechVideoCameraAssistant.exe» [2005-12-07 489472]
«LogitechVideo[inspector]»=»c:program filesLogitechVideoInstallHelper.exe» [2005-12-07 07:33 73728]
«LogitechCameraService(E)»=»c:windowssystem32ElkCtrl.exe» [2004-11-01 262144]
«OpwareSE2″=»c:program filesScanSoftOmniPageSE2.0OpwareSE2.exe» [2003-05-08 49152]
«CRBroadCasting»=»c:program filesCardReader2.0CRBroadCasting.exe» [2004-02-26 24576]
«WheelMouse»=»c:program filesA4TechMouseAmoumain.exe» [2006-12-26 196608]
«Lingvo Launcher»=»c:program filesABBYY Lingvo 8.0Lvagent.exe» [2002-10-02 102400]
«SpIDerAgent»=»d:drwebSpIDerAgent.exe» [2009-11-18 447728]
«SpIDerMail»=»d:drwebspiderml.exe» [2009-06-30 644336]
«SpIDerNT»=»d:drwebspiderui.exe» [2009-09-03 231840]
«FlashAntivir»=»c:program filesЗоркий ГлазAntivirь.exe» [2009-09-29 515072]
«Ярлык для страницы свойств High Definition Audio»=»HDAShCut.exe» — c:windowssystem32HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

c:documents and settingsVitaliy&Dariaѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
NumLock Calculator 3.2.lnk — e:џа®јёNumLock CalculatorNLCalc.exe [2006-11-28 1099264]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:program filesMicrosoft ActiveSyncrapimgr.exe»= c:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«c:program filesMicrosoft ActiveSyncwcescomm.exe»= c:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«c:program filesMicrosoft ActiveSyncWCESMgr.exe»= c:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\ICQ6.5\ICQ.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 DwProt;DrWeb Protection;c:windowssystem32driversdwprot.sys [16.10.2009 22:51 107000]
R2 ASTRA32;ASTRA32 Kernel Driver 5.2.1.0;c:program filesASTRA32astra32.sys [22.02.2007 11:28 30864]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:program filesCommon FilesDoctor WebScanning Enginedwengine.exe [21.01.2009 15:09 869688]
R2 SPIDER;SpIDer Guard File System Monitor;d:drwebspider.sys [16.04.2009 9:40 306464]
R2 SPIDERNT;SpIDer Guard for Windows;d:drwebspidernt.exe [16.04.2009 9:40 231328]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:windowssystem32driversAmps2prt.sys [09.05.2006 19:27 13824]
R3 cmudax;C-Media High Definition Audio Interface;c:windowssystem32driverscmudax.sys [19.03.2008 2:24 1287296]
S3 PAC7302;PAC7302 VGA USB Camera;c:windowssystem32DRIVERSPAC7302.SYS —> c:windowssystem32DRIVERSPAC7302.SYS [?]
S3 REMOVE;REMOVE;??c:windowssystem32driversREMOVE.SYS —> c:windowssystem32driversREMOVE.SYS [?]
.
Contents of the ‘Scheduled Tasks’ folder

2009-10-16 c:windowsTasksDr.Web Daily scan.job
— d:drwebDrWeb32w.exe [2009-06-30 13:41]

2009-11-25 c:windowsTasksDr.Web Update.job
— d:drwebDrWebUpW.exe [2009-06-30 13:41]
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.bspb.ru/
uInternet Connection Wizard,ShellNext = iexplore
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
LSP: d:drwebdrwebsp.dll
.
— — — — ORPHANS REMOVED — — — —

AddRemove-inDev Software Spider v1.17 — SyMBiAN — c:program filesMicrosoft ActiveSyncinDev Software Spider v1.17 — SyMBiANUninstall.exe inDev Software Spider v1.17 — SyMBiAN
AddRemove-PocketSnake — c:program filesMicrosoft ActiveSyncPocketSnakeUninstall.exe PocketSnake
AddRemove-QcDrv — c:program filesCommon FilesLogitechQCDRVBINSETUP.EXE UNINSTALL REMOVEPROMPT
AddRemove-{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB} — c:program filesInstallShield Installation Information{6ACA2FD2-4C4A-42F3-AFB5-7B433BBDF6DB}setup.exe REMOVEALL

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-25 21:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8AC5C2D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf763bfc3
DriverACPI -> ACPI.sys @ 0xf7586cb8
Driveratapi -> 0x8ac5c2d8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059ece9
ParseProcedure -> ntoskrnl.exe @ 0x8057e98a
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059ece9
ParseProcedure -> ntoskrnl.exe @ 0x8057e98a
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘winlogon.exe'(1164)
c:windowssystem32Ati2evxx.dll

— — — — — — — > ‘lsass.exe'(1220)
d:drwebdrwebsp.dll

— — — — — — — > ‘explorer.exe'(2924)
c:program filesScanSoftOmniPageSE2.0ophookSE2.dll
c:program filesPunto Switcherpshook.dll.1224012578
c:windowssystem32Amhooker.dll
.

---

Other Running Processes

---

.
c:windowssystem32Ati2evxx.exe
c:windowsSYSTEM32GEARSEC.EXE
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:program filesCardReader2.0OTiReader.exe
c:windowssystem32wdfmgr.exe
c:windowssystem32MsPMSPSv.exe
c:windowssystem32wscntfy.exe
c:windowssystem32Ati2evxx.exe
e:прогиNumLock CalculatorNLCalc.exe
c:progra~1MI3AA1~1rapimgr.exe
.
**************************************************************************
.
Completion time: 2009-11-25 21:40 — machine was rebooted
ComboFix-quarantined-files.txt 2009-11-25 18:40

Pre-Run: 34 701 377 536 байт свободно
Post-Run: 35 080 622 080 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Home Edition RU» /noexecute=optin /fastdetect

Current=4 Default=4 Failed=3 LastKnownGood=1 Sets=1,2,3,4
— — End Of File — — 632D0E97B99CA780386446285E41796B

[Автор]

Сообщения