Созданные ответы форума
-
Сообщения
-
При запуске Combofix`a снова аварийно закрылась служба — PEV.cfxxe….
Если ссылка (из лога ниже) взята при «препорации» драйвера, который проверялся, то скорее всего это PuntoSwitcher. Установлен в систему он был перед написанием первого сообщения в топик. (хотя интересно узнать что ворует эта программка). А что то живет(жило) давно….ComboFix 10-04-15.05 — Nataly 22.04.2010 7:32:58.2.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.610 [GMT 7:00]
Running from: C:Documents and SettingsNatalyРабочий столComboFix.exe
Command switches used :: C:Documents and SettingsNatalyРабочий столCFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
BITS: Possible infected sites
hxxp://soft.export.yandex.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_REMOPRGRTI
Legacy_UTM3NJM3
Service_Remoprgrti
Service_utm3njm3((((((((((((((((((((((((( Files Created from 2010-03-22 to 2010-04-22 )))))))))))))))))))))))))))))))
.2010-04-21 11:55:41 . 2010-04-21 11:55:42
d—h—w- C:WINDOWSsystem32GroupPolicy
2010-04-17 08:13:49 . 2010-04-17 08:13:50
d
w- C:Program FilesuTorrent
2010-04-17 08:13:05 . 2010-04-17 08:13:06
d
w- C:Documents and SettingsNatalyApplication DatauTorrent
2010-04-15 18:44:55 . 2010-04-15 18:45:00 7168 —-a-w- C:WINDOWSsystem32driversutm3njm3.sys
2010-04-15 17:59:48 . 2010-04-15 17:59:50
d
w- C:Documents and SettingsAll UsersApplication DataYandex
2010-04-15 17:59:46 . 2010-04-15 17:59:48
d
w- C:Program FilesYandex
2010-04-15 17:59:46 . 2010-04-15 17:59:48
d
w- C:Documents and SettingsNatalyApplication DataYandex
2010-04-15 17:59:42 . 2010-04-15 17:59:44
d
w- C:Documents and SettingsNatalyLocal SettingsApplication DataYandex
2010-04-15 16:26:37 . 2010-04-15 16:26:38
d
w- C:rsit
2010-04-15 15:50:03 . 2010-04-15 15:50:04
d
w- C:Program FilesTrend Micro
2010-04-08 17:18:00 . 2010-04-08 17:18:00
d
w- C:FOUND.017
2010-04-06 20:20:27 . 2010-04-06 20:20:28
d
w- C:Program Files2gis
2010-04-06 10:18:38 . 2010-04-06 10:18:40 109072 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd3.dll
2010-04-06 10:18:34 . 2010-04-06 10:18:36 59920 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd.dll
2010-04-06 10:18:16 . 2010-04-06 10:18:18 208616 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506avp.exe
2010-04-06 10:18:13 . 2010-04-06 10:18:14 33808 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506klbg.sys
2010-04-06 10:17:43 . 2010-04-06 10:18:14 226832 —-a-w- C:Documents and SettingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506XPklif.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox2.idx
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox2.dat
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox.idx
2010-04-22 00:39:00 . 2009-10-04 01:35:26 32 —sha-w- C:WINDOWSsystem32driversfidbox.dat
2010-04-22 00:24:12 . 2001-10-20 05:00:00 83196 —-a-w- C:WINDOWSsystem32perfc019.dat
2010-04-22 00:24:12 . 2001-10-20 05:00:00 480870 —-a-w- C:WINDOWSsystem32perfh019.dat
2010-04-08 07:24:04 . 2007-09-04 14:25:25 27 —-a-w- C:WINDOWSpopcinfo.dat
2010-04-07 06:24:44 . 2008-12-20 11:05:27 12496 —-a-w- C:WINDOWSMSPuzzle.dat
2010-04-06 10:18:56 . 2009-10-04 01:35:51 95259 —-a-w- C:WINDOWSsystem32driversklick.dat
2010-04-06 10:18:56 . 2009-10-04 01:35:51 108059 —-a-w- C:WINDOWSsystem32driversklin.dat
2010-04-06 10:18:56 . 2008-01-29 10:29:38 33808 —-a-w- C:WINDOWSsystem32driversklbg.sys
2008-02-14 04:45:50 . 2008-02-14 04:45:46 4637 —-a-w- C:Program FilesPatchWise.log
1999-06-25 03:55:30 . 2008-03-19 10:33:52 149504 —-a-w- C:Program FilesUNWISE.EXE
2005-09-19 07:12:00 . 2007-08-24 17:09:56 44158 —-a-w- C:Program Filesmozilla firefoxcomponentsinspector.dll
.
Sigcheck
[-] 2004-09-17 05:16:00 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] . . C:WINDOWSsystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«AVP»=»C:Program FilesKaspersky LabKaspersky Anti-Virus 2009avp.exe» [2010-04-06 10:18:56 208616][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregcombofix]
C:ComboFixCF11802.cfxxe [X][HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQuickTime Task]
2008-12-25 15:30:06 77824 —-a-w- C:Program FilesQuickTimeqttask.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\Microsoft Office\Office12\groove.exe»=
«C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«C:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«C:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«C:\Program Files\Peers\Peers.exe»=
«C:\Program Files\uTorrent\uTorrent.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:@xpsp2res.dll,-22009R0 klbg;Kaspersky Lab Boot Guard Driver;C:WINDOWSsystem32driversklbg.sys [29.01.2008 17:29:38 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:WINDOWSsystem32driversklim5.sys [30.04.2008 17:06:48 24592]
S3 GAGPDrv;GAGPDrv; [x]
S3 hwusbdev;Huawei DataCard USB PNP Device;C:WINDOWSsystem32driversewusbdev.sys [01.01.2005 0:08:00 100480]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;C:Program FilesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [13.09.2006 4:24:24 2799808]
S4 sptd;sptd;C:WINDOWSsystem32driverssptd.sys [12.03.2008 19:31:19 639224]
.
.
Supplementary Scan
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
IE: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
IE: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
IE: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
IE: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
IE: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
FF — ProfilePath — C:Documents and SettingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — plugin: C:Program FilesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: C:Program FilesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll—- FIREFOX POLICIES —-
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
C:Program FilesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
C:Program FilesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
C:Program FilesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
C:Program FilesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.Доброго дня.
Эта штука на время проверки подменяет системные службы своими. После проверки требуется произвести обратный процесс, а он возможен только перезагрузкой. Если это не сделать, после некоторых проверок утилитой возможны и не такие «Глюки».
З.Ы. Читайте внимательно инструкции прежде чем использовать спец средства!Доброго времени.
Выполнено. Лог Ниже.
При выполнении аварийно был завершен какой-то процесс. О его повреждении сообщила система желтым треугольником при первом запуске системы после проверки(что то типа в папке …help..pssvc.pf). Еще сработал антивирус на тестовый файл который создал ComboFix.
Результат: Стал доступен просмотр скрытых файлов через Explorer. Чуть оживилась система…ComboFix 10-04-15.05 — Nataly 17.04.2010 23:31:53.1.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.623 [GMT 7:00]
Running from: c:documents and settingsNatalyРабочий столComboFix.exe
Command switches used :: c:documents and settingsNatalyРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:documents and settingsLocalServiceApplication Datawsnpoem
c:documents and settingsLocalServiceApplication Datawsnpoemaudio.dll
c:documents and settingsNetworkServiceApplication Datawsnpoem
c:documents and settingsNetworkServiceApplication Datawsnpoemaudio.dll
c:program filesMicrosoft Common
c:program filesMyCentria
C:Thumbs.db
c:windowseSellerateEngine.dll
c:windowsgendel32.exe
c:windowssystem32mswmpdat.tlb
c:windowssystem32reboot.txt
c:windowssystem32tmp12.tmp
c:windowssystem32tmp13.tmp
c:windowssystem32tmp16.tmp
c:windowssystem32tmp17.tmp
c:windowssystem32tmp87.tmp
c:windowssystem32tmp88.tmp
c:windowssystem32tmp92.tmp
c:windowssystem32tmp93.tmp
c:windowssystem32winview.ocx
c:windowssystem32wmcache.nld
c:windowssystem32wsnpoem
c:windowssystem32wsnpoemaudio.dll
c:windowssystem32wsnpoemvideo.dll
c:windowswinhelp.ini
BITS: Possible infected sites
hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-03-17 to 2010-04-17 )))))))))))))))))))))))))))))))
.2010-04-17 08:13 . 2010-04-17 08:13
d
w- c:program filesuTorrent
2010-04-17 08:13 . 2010-04-17 08:13
d
w- c:documents and settingsNatalyApplication DatauTorrent
2010-04-15 18:44 . 2010-04-15 18:45 7168 —-a-w- c:windowssystem32driversutm3njm3.sys
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsAll UsersApplication DataYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:program filesYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsNatalyApplication DataYandex
2010-04-15 17:59 . 2010-04-15 17:59
d
w- c:documents and settingsNatalyLocal SettingsApplication DataYandex
2010-04-15 16:26 . 2010-04-15 16:26
d
w- C:rsit
2010-04-15 15:50 . 2010-04-15 15:50
d
w- c:program filesTrend Micro
2010-04-08 17:18 . 2010-04-08 17:18
d
w- C:FOUND.017
2010-04-06 20:20 . 2010-04-06 20:20
d
w- c:program files2gis
2010-04-06 10:18 . 2010-04-06 10:18 109072 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd3.dll
2010-04-06 10:18 . 2010-04-06 10:18 59920 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506mzvkbd.dll
2010-04-06 10:18 . 2010-04-06 10:18 208616 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506avp.exe
2010-04-06 10:18 . 2010-04-06 10:18 33808 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506klbg.sys
2010-04-06 10:17 . 2010-04-06 10:18 226832 —-a-w- c:documents and settingsAll UsersApplication DataKaspersky LabAVP8DataUpdaterTemporary FilestemporaryFolderAutoPatcheskav8exec8.0.0.506XPklif.sys.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox2.idx
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox2.dat
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox.idx
2010-04-17 16:39 . 2009-10-04 01:35 32 —sha-w- c:windowssystem32driversfidbox.dat
2010-04-17 16:32 . 2001-10-20 05:00 83196 —-a-w- c:windowssystem32perfc019.dat
2010-04-17 16:32 . 2001-10-20 05:00 480870 —-a-w- c:windowssystem32perfh019.dat
2010-04-08 07:24 . 2007-09-04 14:25 27 —-a-w- c:windowspopcinfo.dat
2010-04-07 06:24 . 2008-12-20 11:05 12496 —-a-w- c:windowsMSPuzzle.dat
2010-04-06 10:18 . 2009-10-04 01:35 95259 —-a-w- c:windowssystem32driversklick.dat
2010-04-06 10:18 . 2009-10-04 01:35 108059 —-a-w- c:windowssystem32driversklin.dat
2010-04-06 10:18 . 2008-01-29 10:29 33808 —-a-w- c:windowssystem32driversklbg.sys
2008-02-14 04:45 . 2008-02-14 04:45 4637 —-a-w- c:program filesPatchWise.log
1999-06-25 03:55 . 2008-03-19 10:33 149504 —-a-w- c:program filesUNWISE.EXE
2005-09-19 07:12 . 2007-08-24 17:09 44158 —-a-w- c:program filesmozilla firefoxcomponentsinspector.dll
.
Sigcheck
[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«AVP»=»c:program filesKaspersky LabKaspersky Anti-Virus 2009avp.exe» [2010-04-06 208616]
«QuickTime Task»=»c:program filesQuickTimeqttask.exe» [2008-12-25 77824]c:documents and settingsNatalyѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Punto Switcher.lnk — c:program filesYandexPunto Switcherpunto.exe [2010-4-16 831272][HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\groove.exe»=
«c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«c:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«c:\Program Files\Peers\Peers.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=R0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [29.01.2008 17:29 33808]
R0 sptd;sptd;c:windowssystem32driverssptd.sys [12.03.2008 19:31 639224]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:windowssystem32driversklim5.sys [30.04.2008 17:06 24592]
S3 GAGPDrv;GAGPDrv; [x]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:windowssystem32driversewusbdev.sys [01.01.2005 0:08 100480]
S3 Remoprgrti;Remoprgrti; [x]
S3 utm3njm3;AVZ Kernel Driver;c:windowssystem32driversutm3njm3.sys [16.04.2010 1:44 7168]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:program filesMicrosoft Visual Studio 8Common7IDERemote Debuggerx86msvsmon.exe [13.09.2006 4:24 2799808]
.
.
Supplementary Scan
.
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Незнакомые слова — c:program filesPRMT8PRMTIEinfopanel.htm
IE: Открыть словарную статью — c:program filesPRMT8PRMTIEaddentry.htm
IE: Перевести — c:program filesPRMT8PRMTIEtranslat.htm
IE: Перевести страницу — c:program filesPRMT8PRMTIEpage.htm
IE: Поиск в Интернете — c:program filesPRMT8PRMTIEsearch.htm
FF — ProfilePath — c:documents and settingsNatalyApplication DataMozillaFirefoxProfilesutdu6fie.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_colors», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.use_native_popup_windows», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.enable_click_image_resizing», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«accessibility.browsewithcaret_shortcut.enabled», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.high_water_mark», 32);
c:program filesMozilla Firefoxgreprefsall.js — pref(«javascript.options.mem.gc_frequency», 1600);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.auth.force-generic-ntlm», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«svg.smil.enabled», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«ui.trackpoint_hack.enabled», -1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.debug», false);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.agedWeight», 2);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.bucketSize», 1);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.maxTimeGroupings», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.timeGroupingSize», 604800);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.boundaryWeight», 25);
c:program filesMozilla Firefoxgreprefsall.js — pref(«browser.formfill.prefixWeight», 5);
c:program filesMozilla Firefoxgreprefsall.js — pref(«html5.enable», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref», true);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.renego_unrestricted_hosts», «»);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.treat_unsafe_negotiation_as_broken», false);
c:program filesMozilla Firefoxgreprefssecurity-prefs.js — pref(«security.ssl.require_safe_negotiation», false);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.download.backgroundInterval», 600);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«app.update.url.manual», «http://www.firefox.com»);
c:program filesMozilla Firefoxdefaultspreffirefox-branding.js — pref(«browser.search.param.yahoo-fr-ja», «mozff»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description», «chrome://browser/locale/browser.properties»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add», «addons.mozilla.org»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«xpinstall.whitelist.add.36», «getpersonas.com»);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«lightweightThemes.update.enabled», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.allTabs.previews», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.hide_infobar_for_outdated_plugin», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«plugins.update.notifyUser», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«toolbar.customization.usesheet», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.enable», false);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.max», 20);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«browser.taskbar.previews.cachetime», 20);
.
— — — — ORPHANS REMOVED — — — —AddRemove-Iona — c:gamesTRIADAIonaUninst.isu
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-17 23:41
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys >>UNKNOWN [0x86F641D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf7773fc3
DriverACPI -> ACPI.sys @ 0xf75d7cb8
Driveratapi -> 0x86fd11d8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: D-Link DFE-520TX PCI Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf74c8ba0
PacketIndicateHandler -> NDIS.sys @ 0xf74b7a0b
SendHandler -> NDIS.sys @ 0xf74cbb31
Warning: possible MBR rootkit infection !
user & kernel MBR OK**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1252)
c:windowssystem32Ati2evxx.dll— — — — — — — > ‘explorer.exe'(2728)
c:program filesYandexPunto Switcherpshook.dll
c:windowssystem32msi.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.
Other Running Processes
.
c:windowssystem32Ati2evxx.exe
c:windowssystem32Ati2evxx.exe
c:documents and settingsAll UsersApplication DataEPSONEPW!3 SSRPE_S30RP1.EXE
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-04-17 23:43:54 — machine was rebooted
ComboFix-quarantined-files.txt 2010-04-17 16:43Pre-Run: 3 728 736 256 байт свободно
Post-Run: 3 730 194 432 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect— — End Of File — — 71BE0729F29AF1C346EB4A2FC22B369A
