Антивирь не может справится…

[Leremur]

Здраствуйте, Валерий :). Беда в том что мой др веб неможет нечего зделать, как токо временно лечить эти вирусы 😕 Их там много разных наименованний… Вот лог короче:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:52, on 06.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.exe
C:WINDOWSsystem32csrcs.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:WINDOWSRTHDCPL.EXE
C:Program FilesWinampWinampa.exe
C:Program FilesDrWebspiderml.exe
C:Program FilesDrWebDRWEBSCD.EXE
C:PROGRA~1DrWebspiderui.exe
C:Program FilesCommon FilesAheadLibNMBgMonitor.exe
C:Program FilesDownload Masterdmaster.exe
C:Program FilesCommon FilesAheadLibNMIndexStoreSvr.exe
C:Program FilesSkypePhoneSkype.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:Program FilesSkypePlugin ManagerskypePM.exe
C:WINDOWSsystem32nvsvc32.exe
C:PROGRA~1DrWebspidernt.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesCommon FilesAheadLibNMIndexingService.exe
C:WINDOWSsystem32wuauclt.exe
C:PROGRA~1CrawlerCToolbar.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66008
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66008
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} — C:PROGRA~1Crawlerctbr.dll
F2 — REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 — BHO: (no name) — {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} — C:PROGRA~1Crawlerctbr.dll
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O2 — BHO: Google Toolbar Helper — {AA58ED58-01DD-4d91-8333-CF10577473F7} — c:program filesgooglegoogletoolbar1.dll
O3 — Toolbar: DM Bar — {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — C:Program FilesDownload Masterdmbar.dll
O3 — Toolbar: &Crawler Toolbar — {4B3803EA-5230-4DC3-A7FC-33638F3D3542} — C:PROGRA~1Crawlerctbr.dll
O3 — Toolbar: &Google — {2318C2B1-4965-11d4-9B18-009027A5CD4F} — c:program filesgooglegoogletoolbar1.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesAheadLibNeroCheck.exe
O4 — HKLM..Run: [WinampAgent] «C:Program FilesWinampWinampa.exe»
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [DrWebScheduler] «C:Program FilesDrWebDRWEBSCD.EXE»
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesAheadLibNMBgMonitor.exe»
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [Skype] «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
O4 — HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 — Startup: is-9EDDP.lnk = ?
O8 — Extra context menu item: Crawler Search — tbr:iemenu
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O18 — Protocol: tbr — {4D25FB7A-8902-4291-960E-9ADA051CFBBF} — C:PROGRA~1Crawlerctbr.dll
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Google Updater Service (gusvc) — Google — C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NBService — Nero AG — C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesAheadLibNMIndexingService.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SpIDer Guard for Windows (SPIDERNT) — Doctor Web, Ltd. — C:PROGRA~1DrWebspidernt.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 6766 bytes
Спасибо.

[Leremur]

лог после сомбо_фих…
ComboFix 08-12-05.01 — barbiling 2008-12-06 18:40:59.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1489 [GMT 3:00]
Running from: c:downloadsПрограммыComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowslsass.exe
c:windowssystem32AutoRun.inf
c:windowssystem32csrcs.exe
c:windowssystem32msblcd32.dll

.
((((((((((((((((((((((((( Files Created from 2008-11-06 to 2008-12-06 )))))))))))))))))))))))))))))))
.

2008-12-06 13:37 . 2008-12-06 13:37

d

---

c:program filesTrend Micro
2008-12-06 12:54 . 2008-12-06 18:29 817,184 —ahs—- c:windowssystem32driversfidbox.dat
2008-12-06 12:54 . 2008-12-06 18:29 12,740 —ahs—- c:windowssystem32driversfidbox.idx
2008-12-06 12:47 . 2008-12-06 12:47 0 -rahs—- C:khr
2008-12-06 05:56 . 2008-12-06 05:56 d

---

c:documents and settingsLocalServiceApplication DataAhead
2008-12-06 04:31 . 2008-12-06 13:10 420,610 —a

---

c:windowssystem32cftm.exe
2008-12-06 02:14 . 2008-12-06 02:14 d

---

c:program filesK-Lite Codec Pack
2008-12-06 02:09 . 2008-12-06 02:11 15,689,006 —a

---

c:program filesklcodec434f.exe
2008-12-06 01:55 . 2003-03-19 06:14 499,712 —a

---

c:windowssystem32msvcp71.dll
2008-12-06 01:44 . 2008-12-06 18:26 d

---

c:program filesDrWeb
2008-12-06 01:44 . 2008-12-06 01:44 77,824 —a—-t- c:windowssystem32DRWEBSP.DLL
2008-12-06 01:42 . 2008-12-06 01:42 939,414 —a

---

C:drupdate6-kmizar.exe
2008-12-06 01:33 . 2008-12-06 01:47 d

---

c:documents and settingsbarbilingDoctorWeb
2008-12-05 22:52 . 2008-12-05 22:52 d

---

c:program filesGoogle
2008-12-05 22:52 . 2008-12-06 18:31 d

---

c:documents and settingsbarbilingApplication DataSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:program filesSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:program filesCommon FilesSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:documents and settingsAll UsersApplication DataSkype
2008-12-05 22:38 . 2008-12-05 22:38 d

---

c:documents and settingsAll UsersApplication DatanView_Profiles
2008-12-05 19:03 . 2008-12-06 01:54 d

---

c:program filesJockerSoft
2008-12-05 19:03 . 2008-12-06 18:39 d

---

c:program filesCrawler
2008-12-05 18:22 . 2008-12-06 03:37 d

---

c:program filesuTorrent
2008-12-05 18:22 . 2008-12-06 08:09 d

---

c:documents and settingsbarbilingApplication DatauTorrent
2008-12-04 22:38 . 2008-12-04 22:38 d

---

c:program filesAF Uninstalls
2008-12-04 22:38 . 2008-12-04 22:38 1,081,616 —a

---

c:windowssystem32mscomctl.ocx
2008-12-04 22:38 . 2008-12-04 22:38 662,288 —a

---

c:windowssystem32MSCOMCT2.OCX
2008-12-04 22:38 . 2008-12-04 22:38 212,240 —a

---

c:windowssystem32RICHTX32.OCX
2008-12-04 22:38 . 2008-12-04 22:38 152,848 —a

---

c:windowssystem32COMDLG32.OCX
2008-12-04 22:38 . 2008-12-04 22:38 124,688 —a

---

c:windowssystem32MSWINSCK.OCX
2008-12-04 22:38 . 2008-12-04 22:38 67,376 —a

---

c:windowssystem32SYSINFO.OCX
2008-12-04 18:37 . 2008-12-06 07:11 d

---

C:Downloads
2008-12-04 18:37 . 2008-12-04 18:56 d

---

c:documents and settingsbarbilingApplication DataDownload Master
2008-12-04 18:36 . 2008-12-04 18:36 d

---

c:program filesDownload Master
2008-12-04 18:36 . 2008-12-04 18:36 5,044,349 —a

---

c:program filesdmaster.exe
2008-12-04 15:40 . 2008-12-04 15:40 4,517,616 —a

---

c:program filesIpTvPlayer_0.28.exe
2008-12-03 23:32 . 2008-12-03 23:32 d

---

c:documents and settingsbarbilingApplication DataMedia Player Classic
2008-12-03 23:23 . 2008-12-03 23:23 d

---

c:documents and settingsbarbilingApplication DataAhead
2008-12-03 22:18 . 2008-12-03 22:18 d

---

c:documents and settingsbarbilingApplication DataInstallShield
2008-12-03 22:01 . 2008-12-03 21:53 d—h

---

c:documents and settingsbarbilingШаблоны
2008-12-03 22:01 . 2008-12-06 18:29 d

---

c:documents and settingsbarbilingРабочий стол
2008-12-03 22:01 . 2008-12-06 03:37 dr

---

c:documents and settingsbarbilingМои документы
2008-12-03 22:01 . 2008-12-05 18:22 dr

---

c:documents and settingsbarbilingГлавное меню
2008-12-03 22:01 . 2008-12-06 13:33 dr

---

c:documents and settingsbarbilingИзбранное

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 22:44

---

d—h—w c:program filesInstallShield Installation Information
2008-12-05 19:38

---

d

---

w c:program filesc litle
2008-12-04 19:38 284,160 —-a-w c:windowssystem32pdh.dll
2008-12-03 20:35

---

d

---

w c:program filesZD Soft
2008-12-03 20:35

---

d

---

w c:program fileszapis video s igr
2008-12-03 20:32

---

d

---

w c:program filesflash player
2008-12-03 20:30

---

d

---

w c:program filesWinamp
2008-12-03 20:28 266,240 —-a-w c:windowssystem32dfxg11.dll
2008-12-03 20:28

---

d

---

w c:program fileswinamp_soft
2008-12-03 20:28

---

d

---

w c:program filesDfx
2008-12-03 20:23

---

d

---

w c:program filesNero
2008-12-03 20:23

---

d

---

w c:program filesCommon FilesAhead
2008-12-03 20:23

---

d

---

w c:documents and settingsAll UsersApplication DataNero
2008-12-03 20:20

---

d

---

w c:program filesnero 7.7.5.1_rus
2008-12-03 20:16

---

d

---

w c:program filesWinRAR-3.71
2008-12-03 19:20

---

d

---

w c:program filesAMD
2008-12-03 19:16

---

d

---

w c:program filesRealtek
2008-12-03 19:13 315,392 —-a-w c:windowsHideWin.exe
2008-12-03 19:07

---

d

---

w c:program filesCommon FilesInstallShield
2008-12-03 18:57

---

d

---

w c:program filesmicrosoft frontpage
2008-11-24 14:32 57,344 —-a-w c:windowssystem32ff_vfw.dll
2008-10-28 22:35 684,032 —-a-w c:windowssystem32divx.dll
2008-09-25 08:03 81,920 —-a-w c:windowssystem32dpl100.dll
2008-09-19 21:57 3,596,288 —-a-w c:windowssystem32qt-dx331.dll
2006-06-22 10:44 2,078,344 —-a-w c:program filesNPSWF32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadLibNMBgMonitor.exe» [2007-01-15 147456]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-11-18 3297280]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2007-08-17 23120680]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe» [2008-12-05 171448]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-05-11 8429568]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2007-05-11 81920]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«WinampAgent»=»c:program filesWinampWinampa.exe» [2001-10-02 10752]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2008-06-10 501080]
«DrWebScheduler»=»c:program filesDrWebDRWEBSCD.EXE» [2008-05-05 283888]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«nwiz»=»nwiz.exe» [2007-05-11 c:windowssystem32nwiz.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2007-04-12 c:windowsRTHDCPL.exe]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

PP2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DrWebspidernt.exe [2008-12-06 197896]
R2 SPIDER;SpIDer Guard File System Monitor;??c:progra~1DrWebspider.sys [2008-12-06 268040]
S3 utg4njgz;AVZ Kernel Driver;??c:windowssystem32Driversutg4njgz.sys []

*Newly Created Service* — PROCEXP90
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-06 18:41:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(768)
c:windowssystem32DRWEBSP.DLL
.
Completion time: 2008-12-06 18:41:52
ComboFix-quarantined-files.txt 2008-12-06 15:41:44

Pre-Run: 36 977 487 872 байт свободно
Post-Run: 37,726,081,024 байт свободно

135

[Leremur]

Касперский Вирус Ремовал Тул вместо 5 вирусов уже жалуется на 1 Trojan.Win32.Autoit.fj Файл:c:windowssystem32cftm.exe и предлогает его удалить Веб вообще этого не замечает..

[Leremur]

На всякий случай лог после Trojan Remover 😳

***** NORMAL SCAN FOR ACTIVE MALWARE *****

Trojan Remover Ver 6.7.4.2554. For information, email support@simplysup1.com
[Unregistered version]
Scan started at: 21:16:07 06 дек 2008
Using Database v7220
Operating System: Windows XP SP2 [Windows XP Professional Service Pack 2 (Build 2600)]
File System: NTFS
Data directory: C:Documents and SettingsbarbilingApplication DataSimply Super SoftwareTrojan Remover
Database directory: C:Program FilesTrojan Remover
Logfile directory: C:Documents and SettingsbarbilingМои документыSimply Super SoftwareTrojan Remover Logfiles
Program directory: C:Program FilesTrojan Remover
Running with Administrator privileges

************************************************************
The following Anti-Malware program(s) are loaded:
Dr.WEB Anti-Virus

************************************************************

************************************************************
21:16:07: Scanning

---

WIN.INI

---

WIN.INI found in C:WINDOWS

************************************************************
21:16:07: Scanning

---

SYSTEM.INI

---

SYSTEM.INI found in C:WINDOWS

************************************************************
21:16:07:

---

SCANNING FOR ROOTKIT SERVICES

---

No hidden Services were detected.

************************************************************
21:16:08: Scanning

---

WINDOWS REGISTRY

---

---

Checking HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWinLogon

---

Checking HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinLogon
This key’s «Shell» value calls the following program(s):
File: Explorer.exe
C:WINDOWSExplorer.exe
1032704 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

This key’s «Userinit» value calls the following program(s):
File: C:WINDOWSsystem32userinit.exe
C:WINDOWSsystem32userinit.exe
25088 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

This key’s «System» value appears to be blank

---

This key’s «UIHost» value calls the following program:
File: logonui.exe
C:WINDOWSsystem32logonui.exe
515072 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

---

Checking HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows

---

Checking HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWindows

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Value Name: NvCplDaemon
Value Data: RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
C:WINDOWSsystem32NvCpl.dll
8429568 bytes
Created: 11.05.2007
Modified: 11.05.2007
Company: NVIDIA Corporation

---

Value Name: nwiz
Value Data: nwiz.exe /install
C:WINDOWSsystem32nwiz.exe
1626112 bytes
Created: 11.05.2007
Modified: 11.05.2007
Company:

---

Value Name: NvMediaCenter
Value Data: RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
C:WINDOWSsystem32NvMcTray.dll
81920 bytes
Created: 11.05.2007
Modified: 11.05.2007
Company: NVIDIA Corporation

---

Value Name: RTHDCPL
Value Data: RTHDCPL.EXE
C:WINDOWSRTHDCPL.EXE
-R- 16132608 bytes
Created: 03.12.2008
Modified: 12.04.2007
Company: Realtek Semiconductor Corp.

---

Value Name: NeroFilterCheck
Value Data: C:Program FilesCommon FilesAheadLibNeroCheck.exe
C:Program FilesCommon FilesAheadLibNeroCheck.exe
155648 bytes
Created: 12.01.2006
Modified: 12.01.2006
Company: Nero AG

---

Value Name: WinampAgent
Value Data: «C:Program FilesWinampWinampa.exe»
C:Program FilesWinampWinampa.exe
10752 bytes
Created: 02.10.2001
Modified: 02.10.2001
Company:

---

Value Name: SpIDerMail
Value Data: «C:Program FilesDrWebspiderml.exe»
C:Program FilesDrWebspiderml.exe
501080 bytes
Created: 06.12.2008
Modified: 10.06.2008
Company: Doctor Web, Ltd.

---

Value Name: DrWebScheduler
Value Data: «C:Program FilesDrWebDRWEBSCD.EXE»
C:Program FilesDrWebDRWEBSCD.EXE
283888 bytes
Created: 06.12.2008
Modified: 05.05.2008
Company: Doctor Web, Ltd.

---

Value Name: SpIDerNT
Value Data: C:PROGRA~1DrWebspiderui.exe /agent
C:PROGRA~1DrWebspiderui.exe
197896 bytes
Created: 06.12.2008
Modified: 23.10.2008
Company: Doctor Web, Ltd.

---

Value Name: WinPatrol
Value Data: C:Program FilesBillP StudiosWinPatrolWinPatrol.exe
C:Program FilesBillP StudiosWinPatrolWinPatrol.exe
292152 bytes
Created: 06.12.2008
Modified: 06.08.2007
Company: BillP Studios

---

Value Name: WinPatrol Russian v.2
Value Data: C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
C:Program FilesBillP StudiosWinPatrolwinpatrol.exe
292152 bytes
Created: 06.12.2008
Modified: 06.08.2007
Company: BillP Studios

---

Value Name: TrojanScanner
Value Data: C:Program FilesTrojan RemoverTrjscan.exe /boot
C:Program FilesTrojan RemoverTrjscan.exe
1231752 bytes
Created: 06.12.2008
Modified: 29.11.2008
Company: Simply Super Software

---

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
This Registry Key appears to be empty

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
This Registry Key appears to be empty

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
This Registry Key appears to be empty

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
This Registry Key appears to be empty

---

Checking HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
This Registry Key appears to be empty

---

Checking HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Value Name: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
Value Data: «C:Program FilesCommon FilesAheadLibNMBgMonitor.exe»
C:Program FilesCommon FilesAheadLibNMBgMonitor.exe
147456 bytes
Created: 15.01.2007
Modified: 15.01.2007
Company: Nero AG

---

Value Name: Download Master
Value Data: C:Program FilesDownload Masterdmaster.exe -autorun
C:Program FilesDownload Masterdmaster.exe
3297280 bytes
Created: 04.12.2008
Modified: 18.11.2008
Company: WestByte

---

Value Name: Skype
Value Data: «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
C:Program FilesSkypePhoneSkype.exe
-R- 23120680 bytes
Created: 17.08.2007
Modified: 17.08.2007
Company: Skype Technologies S.A.

---

Value Name: swg
Value Data: C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
171448 bytes
Created: 05.12.2008
Modified: 05.12.2008
Company: Google Inc.

---

---

Checking HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
This Registry Key appears to be empty

---

Checking HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
This Registry Key appears to be empty

---

Checking HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
This Registry Key appears to be empty

---

Checking HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
This Registry Key appears to be empty

************************************************************
21:16:10: Scanning

---

SHELLEXECUTEHOOKS

---

ValueName: {AEB6717E-7E19-11d0-97EE-00C04FD91972}
File: shell32.dll — this file is expected and has been left in place

---

************************************************************
21:16:10: Scanning

---

HIDDEN REGISTRY ENTRIES

---

Taskdir check completed

---

No Hidden File-loading Registry Entries found

---

************************************************************
21:16:10: Scanning

---

ACTIVE SCREENSAVER

---

No active ScreenSaver found to scan.

************************************************************
21:16:10: Scanning

---

REGISTRY ACTIVE SETUP KEYS

---

Key: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
Path: RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
C:WINDOWSsystem32IEDKCS32.DLL
323584 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {2C7339CF-2B09-4501-B3F3-F3508C9228ED}
Path: %SystemRoot%system32regsvr32.exe /s /n /i:/UserInstall %SystemRoot%system32themeui.dll
C:WINDOWSsystem32themeui.dll
386560 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {44BBA840-CC51-11CF-AAFA-00AA00B6015C}
Path: «%ProgramFiles%Outlook Expresssetup50.exe» /APP:OE /CALLER:WINNT /user /install
C:Program FilesOutlook Expresssetup50.exe
73728 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {7790769C-0471-11d2-AF11-00C04FA35D02}
Path: «%ProgramFiles%Outlook Expresssetup50.exe» /APP:WAB /CALLER:WINNT /user /install
C:Program FilesOutlook Expresssetup50.exe
73728 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {89820200-ECBD-11cf-8B85-00AA005B4340}
Path: regsvr32.exe /s /n /i:U shell32.dll
C:WINDOWSsystem32shell32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {89820200-ECBD-11cf-8B85-00AA005B4383}
Path: %SystemRoot%system32ie4uinit.exe
C:WINDOWSsystem32ie4uinit.exe
34304 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:10: Scanning

---

SERVICEDLL REGISTRY KEYS

---

Key: AppMgmt
Path: %SystemRoot%System32appmgmts.dll
C:WINDOWSSystem32appmgmts.dll
171008 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: BITS
Path: %systemroot%system32qmgr.dll
C:WINDOWSsystem32qmgr.dll
382464 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Dhcp
Path: %SystemRoot%System32dhcpcsvc.dll
C:WINDOWSSystem32dhcpcsvc.dll
110592 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: dmserver
Path: %SystemRoot%System32dmserver.dll
C:WINDOWSSystem32dmserver.dll
24064 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Dnscache
Path: %SystemRoot%System32dnsrslvr.dll
C:WINDOWSSystem32dnsrslvr.dll
45568 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: FastUserSwitchingCompatibility
Path: %SystemRoot%System32shsvcs.dll
C:WINDOWSSystem32shsvcs.dll
135168 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: HidServ
%SystemRoot%System32hidserv.dll — file is globally excluded (file cannot be found)

---

Key: Netman
Path: %SystemRoot%System32netman.dll
C:WINDOWSSystem32netman.dll
198144 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Nla
Path: %SystemRoot%System32mswsock.dll
C:WINDOWSSystem32mswsock.dll
247296 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: NtmsSvc
Path: %SystemRoot%system32ntmssvc.dll
C:WINDOWSsystem32ntmssvc.dll
436736 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Schedule
Path: %SystemRoot%system32schedsvc.dll
C:WINDOWSsystem32schedsvc.dll
191488 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: seclogon
Path: %SystemRoot%System32seclogon.dll
C:WINDOWSSystem32seclogon.dll
18944 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: SharedAccess
Path: %SystemRoot%System32ipnathlp.dll
C:WINDOWSSystem32ipnathlp.dll
331264 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: ShellHWDetection
Path: %SystemRoot%System32shsvcs.dll
C:WINDOWSSystem32shsvcs.dll
135168 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: srservice
Path: C:WINDOWSsystem32srsvc.dll
C:WINDOWSsystem32srsvc.dll
170496 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: stisvc
Path: %SystemRoot%system32wiaservc.dll
C:WINDOWSsystem32wiaservc.dll
333312 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: TapiSrv
Path: %SystemRoot%System32tapisrv.dll
C:WINDOWSSystem32tapisrv.dll
246272 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: TermService
Path: %SystemRoot%System32termsrv.dll
C:WINDOWSSystem32termsrv.dll
295936 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Themes
Path: %SystemRoot%System32shsvcs.dll
C:WINDOWSSystem32shsvcs.dll
135168 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: upnphost
Path: %SystemRoot%System32upnphost.dll
C:WINDOWSSystem32upnphost.dll
185344 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: W32Time
Path: %systemroot%system32w32time.dll
C:WINDOWSsystem32w32time.dll
175104 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: winmgmt
Path: %SystemRoot%system32wbemWMIsvc.dll
C:WINDOWSsystem32wbemWMIsvc.dll
145408 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Wmi
Path: %SystemRoot%System32advapi32.dll
C:WINDOWSSystem32advapi32.dll
687104 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: WZCSVC
Path: %SystemRoot%System32wzcsvc.dll
C:WINDOWSSystem32wzcsvc.dll
359936 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:12: Scanning

---

SERVICES REGISTRY KEYS

---

Key: ACPI
ImagePath: system32DRIVERSACPI.sys
C:WINDOWSsystem32DRIVERSACPI.sys
188288 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: catchme
ImagePath: ??C:ComboFixcatchme.sys — this file is globally excluded

---

Key: dmadmin
ImagePath: %SystemRoot%System32dmadmin.exe /com
C:WINDOWSSystem32dmadmin.exe
224768 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Microsoft и VERITAS Software

---

Key: dmboot
ImagePath: System32driversdmboot.sys
C:WINDOWSSystem32driversdmboot.sys
799872 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Microsoft и VERITAS Software

---

Key: dmio
ImagePath: System32driversdmio.sys
C:WINDOWSSystem32driversdmio.sys
153600 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Microsoft и VERITAS Software

---

Key: Eventlog
ImagePath: %SystemRoot%system32services.exe
C:WINDOWSsystem32services.exe
108544 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Ftdisk
ImagePath: system32DRIVERSftdisk.sys
C:WINDOWSsystem32DRIVERSftdisk.sys
125440 bytes
Created: 20.10.2001
Modified: 20.10.2001
Company: Корпорация Майкрософт

---

Key: gusvc
ImagePath: «C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe»
C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
138168 bytes
Created: 05.12.2008
Modified: 05.12.2008
Company: Google

---

Key: i8042prt
ImagePath: system32DRIVERSi8042prt.sys
C:WINDOWSsystem32DRIVERSi8042prt.sys
53376 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: ImapiService
ImagePath: %systemroot%system32imapi.exe
C:WINDOWSsystem32imapi.exe
150016 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: isapnp
ImagePath: system32DRIVERSisapnp.sys
C:WINDOWSsystem32DRIVERSisapnp.sys
36096 bytes
Created: 20.10.2001
Modified: 20.10.2001
Company: Корпорация Майкрософт

---

Key: Kbdclass
ImagePath: system32DRIVERSkbdclass.sys
C:WINDOWSsystem32DRIVERSkbdclass.sys
24832 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: mnmsrvc
ImagePath: C:WINDOWSsystem32mnmsrvc.exe
C:WINDOWSsystem32mnmsrvc.exe
32768 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Mouclass
ImagePath: system32DRIVERSmouclass.sys
C:WINDOWSsystem32DRIVERSmouclass.sys
23296 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: MTsensor
ImagePath: system32DRIVERSASACPI.sys
C:WINDOWSsystem32DRIVERSASACPI.sys
-R- 5810 bytes
Created: 03.12.2008
Modified: 13.08.2004
Company:

---

Key: NetDDE
ImagePath: %SystemRoot%system32netdde.exe
C:WINDOWSsystem32netdde.exe
113664 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: NetDDEdsdm
ImagePath: %SystemRoot%system32netdde.exe
C:WINDOWSsystem32netdde.exe
113664 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Parport
ImagePath: system32DRIVERSparport.sys
C:WINDOWSsystem32DRIVERSparport.sys
80128 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: PCI
ImagePath: system32DRIVERSpci.sys
C:WINDOWSsystem32DRIVERSpci.sys
68480 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: PCIIde
ImagePath: system32DRIVERSpciide.sys
C:WINDOWSsystem32DRIVERSpciide.sys
3328 bytes
Created: 20.10.2001
Modified: 20.10.2001
Company: Корпорация Майкрософт

---

Key: PlugPlay
ImagePath: %SystemRoot%system32services.exe
C:WINDOWSsystem32services.exe
108544 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: RDSessMgr
ImagePath: C:WINDOWSsystem32sessmgr.exe
C:WINDOWSsystem32sessmgr.exe
141312 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: redbook
ImagePath: system32DRIVERSredbook.sys
C:WINDOWSsystem32DRIVERSredbook.sys
58112 bytes
Created: 04.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: SCardSvr
ImagePath: %SystemRoot%System32SCardSvr.exe
C:WINDOWSSystem32SCardSvr.exe
96768 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Secdrv
ImagePath: system32DRIVERSsecdrv.sys
C:WINDOWSsystem32DRIVERSsecdrv.sys
27440 bytes
Created: 17.07.2004
Modified: 17.07.2004
Company:

---

Key: Serial
ImagePath: system32DRIVERSserial.sys
C:WINDOWSsystem32DRIVERSserial.sys
65408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: SPIDER
ImagePath: ??C:PROGRA~1DrWebspider.sys
C:PROGRA~1DrWebspider.sys
268040 bytes
Created: 06.12.2008
Modified: 23.10.2008
Company: Doctor Web, Ltd.

---

Key: SPIDERNT
ImagePath: C:PROGRA~1DrWebspidernt.exe
C:PROGRA~1DrWebspidernt.exe
197896 bytes
Created: 06.12.2008
Modified: 23.10.2008
Company: Doctor Web, Ltd.

---

Key: sr
ImagePath: system32DRIVERSsr.sys
C:WINDOWSsystem32DRIVERSsr.sys
73472 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: SwPrv
ImagePath: C:WINDOWSsystem32dllhost.exe /Processid:{7AE8308B-3BAC-4F6A-93DB-394E2F2B0BB5}
C:WINDOWSsystem32dllhost.exe
5120 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Microsoft Corporation

---

Key: SysmonLog
ImagePath: %SystemRoot%system32smlogsvc.exe
C:WINDOWSsystem32smlogsvc.exe
91648 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: TlntSvr
ImagePath: C:WINDOWSsystem32tlntsvr.exe
C:WINDOWSsystem32tlntsvr.exe
73216 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: utg4njgz
ImagePath: ??C:WINDOWSsystem32Driversutg4njgz.sys
C:WINDOWSsystem32Driversutg4njgz.sys [file not found to scan]

---

Key: VSS
ImagePath: %SystemRoot%System32vssvc.exe
C:WINDOWSSystem32vssvc.exe
290304 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: WmiApSrv
ImagePath: C:WINDOWSsystem32wbemwmiapsrv.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
126464 bytes
Created: 03.12.2008
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:14: Scanning

---

VXD ENTRIES

---

************************************************************
21:16:14: Scanning

---

WINLOGONNOTIFY DLLS

---

Key : crypt32chain
DLLName: crypt32.dll
C:WINDOWSsystem32crypt32.dll
600576 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : cscdll
DLLName: cscdll.dll
C:WINDOWSsystem32cscdll.dll
102400 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : ScCertProp
DLLName: wlnotify.dll
C:WINDOWSsystem32wlnotify.dll
93184 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : Schedule
DLLName: wlnotify.dll
C:WINDOWSsystem32wlnotify.dll
93184 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : sclgntfy
DLLName: sclgntfy.dll
C:WINDOWSsystem32sclgntfy.dll
22016 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : SensLogn
DLLName: WlNotify.dll
C:WINDOWSsystem32WlNotify.dll
93184 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : termsrv
DLLName: wlnotify.dll
C:WINDOWSsystem32wlnotify.dll
93184 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key : wlballoon
DLLName: wlnotify.dll
C:WINDOWSsystem32wlnotify.dll
93184 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:14: Scanning

---

CONTEXTMENUHANDLERS

---

Key: Offline Files
CLSID: {750fdf0e-2a26-11d1-a3ea-080036587f03}
Path: %SystemRoot%System32cscui.dll
C:WINDOWSSystem32cscui.dll
330752 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Open With
CLSID: {09799AFB-AD67-11d1-ABCD-00C04FC30936}
Path: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: Open With EncryptionMenu
CLSID: {A470F8CF-A1E8-4f65-8335-227475AA5C46}
Path: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: ShellExtension
CLSID: [empty]

---

Key: {a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Path: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:15: Scanning

---

FOLDERCOLUMNHANDLERS

---

Key: {0D2E74C4-3C34-11d2-A27E-00C04FC30871}
File: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {24F14F01-7B1C-11d1-838f-0000F80461CF}
File: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {24F14F02-7B1C-11d1-838f-0000F80461CF}
File: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {66742402-F9B9-11D1-A202-0000F81FEDEE}
File: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll
8401408 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: {7D4D6379-F301-4311-BEBA-E26EB0561882}
File: C:Program FilesCommon FilesAheadLibNeroDigitalExt.dll
C:Program FilesCommon FilesAheadLibNeroDigitalExt.dll
1802240 bytes
Created: 15.11.2005
Modified: 15.11.2005
Company: Nero AG

---

************************************************************
21:16:15: Scanning

---

BROWSER HELPER OBJECTS

---

Key: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
BHO: C:PROGRA~1Crawlerctbr.dll
C:PROGRA~1Crawlerctbr.dll
1134592 bytes
Created: 05.12.2008
Modified: 16.11.2007
Company: Crawler.com

---

Key: {22BF413B-C6D2-4d91-82A9-A0F997BA588C}
BHO: C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
1062184 bytes
Created: 17.08.2007
Modified: 17.08.2007
Company: Skype Technologies S.A.

---

Key: {9961627E-4059-41B4-8E0E-A7D6B3854ADF}
BHO: C:PROGRA~1DOWNLO~1dmiehlp.dll
C:PROGRA~1DOWNLO~1dmiehlp.dll
157696 bytes
Created: 04.12.2008
Modified: 24.10.2008
Company: WestByte

---

Key: {AA58ED58-01DD-4d91-8333-CF10577473F7}
BHO: c:program filesgooglegoogletoolbar1.dll
c:program filesgooglegoogletoolbar1.dll
-R- 2427968 bytes
Created: 05.12.2008
Modified: 05.12.2008
Company: Google Inc.

---

************************************************************
21:16:15: Scanning

---

SHELLSERVICEOBJECTS

---

Key: PostBootReminder
CLSID: {7849596a-48ea-486e-8937-a2a3009f31a9}
Path: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll — file already scanned

---

Key: CDBurn
CLSID: {fbeb8a05-beee-4442-804e-409d6c4515e9}
Path: %SystemRoot%system32SHELL32.dll
C:WINDOWSsystem32SHELL32.dll — file already scanned

---

Key: WebCheck
CLSID: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Path: %SystemRoot%system32webcheck.dll
C:WINDOWSsystem32webcheck.dll
277504 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Key: SysTray
CLSID: {35CEC8A3-2BE6-11D2-8773-92E220524153}
Path: %systemroot%system32stobject.dll
C:WINDOWSsystem32stobject.dll
122368 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:15: Scanning

---

SHAREDTASKSCHEDULER ENTRIES

---

Value: {438755C2-A8BA-11D1-B96B-00A0C90312E1}
Comment: Предзагрузчик Browseui
File: %SystemRoot%system32browseui.dll
C:WINDOWSsystem32browseui.dll
1017344 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

Value: {8C7461EF-2B13-11d2-BE35-3078302C2030}
Comment: Демон кэша категорий компонентов
File: %SystemRoot%system32browseui.dll
C:WINDOWSsystem32browseui.dll
1017344 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:15: Scanning

---

IMAGEFILE DEBUGGERS

---

No «Debugger» entries found.

************************************************************
21:16:15: Scanning

---

APPINIT_DLLS

---

The AppInit_DLLs value is blank or does not exist

************************************************************
21:16:15: Scanning

---

SECURITY PROVIDER DLLS

---

DLL: msapsspc.dll
C:WINDOWSsystem32msapsspc.dll
86016 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт (Microsoft Corp.)

---

DLL: digest.dll
C:WINDOWSsystem32digest.dll
68608 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

DLL: msnsspc.dll
C:WINDOWSsystem32msnsspc.dll
290816 bytes
Created: 17.08.2004
Modified: 17.08.2004
Company: Корпорация Майкрософт

---

************************************************************
21:16:15: Scanning

---

COMMON STARTUP GROUP

---

[C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка]
The Common Startup Group attempts to load the following file(s) at boot time:
C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаdesktop.ini
-HS- 84 bytes
Created: 04.12.2008
Modified: 03.12.2008
Company:

---

************************************************************
No User Startup Groups were located to check

************************************************************
21:16:15: Scanning

---

SCHEDULED TASKS

---

No Scheduled Tasks found to scan

************************************************************
21:16:15: Scanning

---

SHELLICONOVERLAYIDENTIFIERS

---

Key: Offline Files
CLSID: {750fdf0e-2a26-11d1-a3ea-080036587f03}
File: %SystemRoot%System32cscui.dll
C:WINDOWSSystem32cscui.dll — file already scanned

---

************************************************************
21:16:16:

---

ADDITIONAL CHECKS

---

PE386 rootkit checks completed

---

Winlogon registry rootkit checks completed

---

Heuristic checks for hidden files/drivers completed

---

Layered Service Provider entries checks completed

---

Windows Explorer Policies checks completed

---

Desktop Wallpaper: C:Documents and SettingsbarbilingLocal SettingsApplication DataMicrosoftWallpaper1.bmp
C:Documents and SettingsbarbilingLocal SettingsApplication DataMicrosoftWallpaper1.bmp
5760054 bytes
Created: 04.12.2008
Modified: 05.12.2008
Company:

---

Web Desktop Wallpaper: %USERPROFILE%Local SettingsApplication DataMicrosoftWallpaper1.bmp
C:Documents and SettingsbarbilingLocal SettingsApplication DataMicrosoftWallpaper1.bmp
5760054 bytes
Created: 04.12.2008
Modified: 05.12.2008
Company:

---

Checks for rogue DNS NameServers completed

---

Additional checks completed

************************************************************
21:16:16: Scanning

---

RUNNING PROCESSES

---

C:WINDOWSSystem32smss.exe

---

C:WINDOWSsystem32csrss.exe

---

C:WINDOWSsystem32winlogon.exe

---

C:WINDOWSsystem32services.exe — file already scanned

---

C:WINDOWSsystem32lsass.exe

---

C:WINDOWSsystem32svchost.exe

---

C:WINDOWSsystem32svchost.exe — file already scanned

---

C:WINDOWSSystem32svchost.exe — file already scanned

---

C:WINDOWSsystem32svchost.exe — file already scanned

---

C:WINDOWSsystem32svchost.exe — file already scanned

---

C:WINDOWSsystem32spoolsv.exe

---

C:WINDOWSExplorer.EXE — file already scanned

---

C:WINDOWSsystem32RUNDLL32.EXE

---

C:WINDOWSRTHDCPL.EXE — file already scanned

---

C:Program FilesWinampWinampa.exe — file already scanned

---

C:Program FilesDrWebspiderml.exe — file already scanned

---

C:Program FilesDrWebDRWEBSCD.EXE — file already scanned

---

C:PROGRA~1DrWebspiderui.exe — file already scanned

---

C:Program FilesCommon FilesAheadLibNMBgMonitor.exe — file already scanned

---

C:Program FilesDownload Masterdmaster.exe — file already scanned

---

C:Program FilesCommon FilesAheadLibNMIndexStoreSvr.exe

---

C:Program FilesSkypePhoneSkype.exe — file already scanned

---

C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe — file already scanned

---

C:Program FilesSkypePlugin ManagerskypePM.exe

---

C:WINDOWSsystem32nvsvc32.exe

---

C:PROGRA~1DrWebspidernt.exe — file already scanned

---

C:WINDOWSsystem32wdfmgr.exe

---

C:WINDOWSSystem32alg.exe

---

C:WINDOWSsystem32wscntfy.exe

---

C:Program FilesCommon FilesAheadLibNMIndexingService.exe

---

C:Program FilesBillP StudiosWinPatrolWinPatrol.exe — file already scanned

---

C:Program FilesWinampWinamp.exe

---

C:PROGRA~1CrawlerCToolbar.exe

---

C:Program Filesinternet exploreriexplore.exe

---

C:Documents and SettingsbarbilingApplication DataSimply Super SoftwareTrojan Removeruwg89.exe
FileSize: 2884472
[This is a Trojan Remover component]

---

************************************************************
21:16:19: Checking AUTOEXEC.BAT file
AUTOEXEC.BAT found in C:
No malicious entries were found in the AUTOEXEC.BAT file

************************************************************
21:16:19: Checking AUTOEXEC.NT file
AUTOEXEC.NT found in C:WINDOWSsystem32
No malicious entries were found in the AUTOEXEC.NT file

************************************************************
21:16:19: Checking HOSTS file
No malicious entries were found in the HOSTS file

************************************************************

---

INTERNET EXPLORER HOME/START/SEARCH SETTINGS

---

HKLMSoftwareMicrosoftInternet ExplorerMain»Start Page»:
http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLMSoftwareMicrosoftInternet ExplorerMain»Local Page»:
%SystemRoot%system32blank.htm
HKLMSoftwareMicrosoftInternet ExplorerMain»Search Page»:
http://go.microsoft.com/fwlink/?LinkId=54896
HKLMSoftwareMicrosoftInternet ExplorerMain»Default_Page_URL»:
http://go.microsoft.com/fwlink/?LinkId=69157
HKLMSoftwareMicrosoftInternet ExplorerMain»Default_Search_URL»:
http://www.google.com/ie
HKLMSoftwareMicrosoftInternet ExplorerSearch»CustomizeSearch»:
http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLMSoftwareMicrosoftInternet ExplorerSearch»SearchAssistant»:
http://www.google.com/ie
HKCUSoftwareMicrosoftInternet ExplorerMain»Start Page»:
http://www.google.com.ua/
HKCUSoftwareMicrosoftInternet ExplorerMain»Local Page»:
C:WINDOWSsystem32blank.htm
HKCUSoftwareMicrosoftInternet ExplorerMain»Search Page»:
http://www.google.com

************************************************************
=== NO CHANGES HAVE BEEN MADE TO YOUR SYSTEM FILES ===
Scan completed at: 21:16:19 06 дек 2008
Total Scan time: 00:00:11
************************************************************
😕 😕 😕

[Leremur]

Короче не втерпел я.. Удалил Trojan.Win32.Autoit.fj в Файл:c:windowssystem32 этой самой же Касперский Вирус Ремовал Тул… Самое интересное, что этот вирус я нашел токо в базах касперского… Интересно, какие теперь могут быть последствия.. Валерий, надеюсь, что вы прокомментируете мои действия…

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Да, ваш компьютер был заражён, но судя по Combofix логу, троян был удалён.
Скажите сейчас есть ли проблемы с компьютером и приложите свежий Combofix лог к ответу.

[Leremur]

Здраствуйте. Сейчас вроде все нормально. Волнуюсь, токо по поводу с:windowssystem32cftm.exe так как его пришлось удалить вместе с вирусом. За что он хоть отвечает, и правельно ли я поступил?
Прошу прощения, что самовольно производил все действия, так как была банальная паника.
Мне интересно почему вирус Trojan.Win32.Autoit.fj видел токо Касперский? В гугле токо его база отобразила этот вирус 😕
Вот свежий лог с комбо фикс:
ComboFix 08-12-05.06 — barbiling 2008-12-07 17:44:09.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.1551 [GMT 3:00]
Running from: c:downloadsПрограммыComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-11-07 to 2008-12-07 )))))))))))))))))))))))))))))))
.

2008-12-07 02:26 . 2008-12-07 02:29

d

---

c:program filesКМП ПЛЕЙР
2008-12-06 23:35 . 2008-12-06 23:35 d

---

c:windowssystem32CatRoot_bak
2008-12-06 23:24 . 2008-12-06 23:24 d

---

c:program filesOpera
2008-12-06 23:22 . 2008-06-14 20:59 272,512

---

c:windowssystem32driversbthport.sys
2008-12-06 23:22 . 2008-06-14 20:59 272,512

---

c— c:windowssystem32dllcachebthport.sys
2008-12-06 23:18 . 2008-12-06 23:18 d

---

c:program filesCCleaner
2008-12-06 23:08 . 2008-08-14 12:51 138,368

---

c— c:windowssystem32dllcacheafd.sys
2008-12-06 23:07 . 2008-08-28 13:04 333,056

---

c— c:windowssystem32dllcachesrv.sys
2008-12-06 23:05 . 2008-09-15 18:40 1,846,144

---

c— c:windowssystem32dllcachewin32k.sys
2008-12-06 23:03 . 2008-08-14 16:47 2,182,144

---

c— c:windowssystem32dllcachentoskrnl.exe
2008-12-06 23:03 . 2008-08-14 16:47 2,138,112

---

c— c:windowssystem32dllcachentkrnlmp.exe
2008-12-06 23:03 . 2008-08-14 16:47 2,059,520

---

c— c:windowssystem32dllcachentkrnlpa.exe
2008-12-06 23:03 . 2008-08-14 16:47 2,017,792

---

c— c:windowssystem32dllcachentkrpamp.exe
2008-12-06 22:56 . 2008-05-08 15:28 202,752

---

c— c:windowssystem32dllcachermcast.sys
2008-12-06 22:55 . 2008-10-24 14:10 453,632

---

c— c:windowssystem32dllcachemrxsmb.sys
2008-12-06 22:53 . 2006-12-07 09:40 2,362,184

---

c— c:windowssystem32dllcachewmvcore.dll
2008-12-06 22:50 . 2008-05-01 17:33 331,776

---

c— c:windowssystem32dllcachemsadce.dll
2008-12-06 22:49 . 2008-04-11 21:51 683,520

---

c— c:windowssystem32dllcacheinetcomm.dll
2008-12-06 22:46 . 2008-10-15 20:00 332,800

---

c— c:windowssystem32dllcachenetapi32.dll
2008-12-06 22:45 . 2008-09-04 19:45 1,106,944

---

c— c:windowssystem32dllcachemsxml3.dll
2008-12-06 22:41 . 2008-12-07 03:11 d—h

---

c:windows$hf_mig$
2008-12-06 22:28 . 2007-04-02 08:59 546,304

---

c— c:windowssystem32dllcachehhctrl.ocx
2008-12-06 21:15 . 2008-12-06 21:15 d

---

c:documents and settingsbarbilingApplication DataSimply Super Software
2008-12-06 21:15 . 2008-12-06 21:23 d-a

---

c:documents and settingsAll UsersApplication DataTEMP
2008-12-06 21:15 . 2006-05-25 14:52 162,304 —a

---

c:windowssystem32ztvunrar36.dll
2008-12-06 19:25 . 2008-12-06 19:25 d

---

c:documents and settingsbarbilingApplication DataWinPatrol
2008-12-06 12:54 . 2008-12-06 22:24 2,615,328 —ahs—- c:windowssystem32driversfidbox.dat
2008-12-06 12:54 . 2008-12-06 22:24 33,812 —ahs—- c:windowssystem32driversfidbox.idx
2008-12-06 12:47 . 2008-12-06 12:47 0 -rahs—- C:khr
2008-12-06 05:56 . 2008-12-06 05:56 d

---

c:documents and settingsLocalServiceApplication DataAhead
2008-12-06 02:14 . 2008-12-07 01:34 d

---

c:program filesK-Lite Codec Pack
2008-12-06 02:09 . 2008-12-06 02:11 15,689,006 —a

---

c:program filesklcodec434f.exe
2008-12-06 01:55 . 2003-03-19 06:14 499,712 —a

---

c:windowssystem32msvcp71.dll
2008-12-06 01:44 . 2008-12-07 17:44 d

---

c:program filesDrWeb
2008-12-06 01:44 . 2008-12-06 01:44 77,824 —a—-t- c:windowssystem32DRWEBSP.DLL
2008-12-06 01:42 . 2008-12-06 01:42 939,414 —a

---

C:drupdate6-kmizar.exe
2008-12-06 01:33 . 2008-12-06 01:47 d

---

c:documents and settingsbarbilingDoctorWeb
2008-12-05 22:52 . 2008-12-05 22:52 d

---

c:program filesGoogle
2008-12-05 22:52 . 2008-12-07 17:44 d

---

c:documents and settingsbarbilingApplication DataSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:program filesSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:program filesCommon FilesSkype
2008-12-05 22:50 . 2008-12-05 22:50 d

---

c:documents and settingsAll UsersApplication DataSkype
2008-12-05 22:38 . 2008-12-05 22:38 d

---

c:documents and settingsAll UsersApplication DatanView_Profiles
2008-12-05 18:22 . 2008-12-06 03:37 d

---

c:program filesuTorrent
2008-12-05 18:22 . 2008-12-06 21:38 d

---

c:documents and settingsbarbilingApplication DatauTorrent
2008-12-04 22:38 . 2008-12-04 22:38 d

---

c:program filesAF Uninstalls
2008-12-04 22:38 . 2008-12-04 22:38 1,081,616 —a

---

c:windowssystem32mscomctl.ocx
2008-12-04 22:38 . 2008-12-04 22:38 662,288 —a

---

c:windowssystem32MSCOMCT2.OCX
2008-12-04 22:38 . 2008-12-04 22:38 212,240 —a

---

c:windowssystem32RICHTX32.OCX
2008-12-04 22:38 . 2008-12-04 22:38 152,848 —a

---

c:windowssystem32COMDLG32.OCX
2008-12-04 22:38 . 2008-12-04 22:38 124,688 —a

---

c:windowssystem32MSWINSCK.OCX
2008-12-04 22:38 . 2008-12-04 22:38 67,376 —a

---

c:windowssystem32SYSINFO.OCX
2008-12-04 18:37 . 2008-12-06 23:23 d

---

C:Downloads
2008-12-04 18:37 . 2008-12-04 18:56 d

---

c:documents and settingsbarbilingApplication DataDownload Master
2008-12-04 18:36 . 2008-12-04 18:36 d

---

c:program filesDownload Master
2008-12-04 18:36 . 2008-12-04 18:36 5,044,349 —a

---

c:program filesdmaster.exe
2008-12-03 23:32 . 2008-12-03 23:32 d

---

c:documents and settingsbarbilingApplication DataMedia Player Classic
2008-12-03 23:23 . 2008-12-03 23:23 d

---

c:documents and settingsbarbilingApplication DataAhead
2008-12-03 22:18 . 2008-12-03 22:18 d

---

c:documents and settingsbarbilingApplication DataInstallShield
2008-12-03 22:01 . 2008-12-03 21:53 d—h

---

c:documents and settingsbarbilingШаблоны
2008-12-03 22:01 . 2008-12-07 04:52 d

---

c:documents and settingsbarbilingРабочий стол
2008-12-03 22:01 . 2008-12-06 21:23 dr

---

c:documents and settingsbarbilingМои документы
2008-12-03 22:01 . 2008-12-05 18:22 dr

---

c:documents and settingsbarbilingГлавное меню
2008-12-03 22:01 . 2008-12-06 22:48 dr

---

c:documents and settingsbarbilingИзбранное

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-05 22:44

---

d—h—w c:program filesInstallShield Installation Information
2008-12-03 20:35

---

d

---

w c:program filesZD Soft
2008-12-03 20:35

---

d

---

w c:program fileszapis video s igr
2008-12-03 20:32

---

d

---

w c:program filesflash player
2008-12-03 20:30

---

d

---

w c:program filesWinamp
2008-12-03 20:28 266,240 —-a-w c:windowssystem32dfxg11.dll
2008-12-03 20:28

---

d

---

w c:program fileswinamp_soft
2008-12-03 20:23

---

d

---

w c:program filesNero
2008-12-03 20:23

---

d

---

w c:program filesCommon FilesAhead
2008-12-03 20:23

---

d

---

w c:documents and settingsAll UsersApplication DataNero
2008-12-03 20:20

---

d

---

w c:program filesnero 7.7.5.1_rus
2008-12-03 20:16

---

d

---

w c:program filesWinRAR-3.71
2008-12-03 19:20

---

d

---

w c:program filesAMD
2008-12-03 19:16

---

d

---

w c:program filesRealtek
2008-12-03 19:13 315,392 —-a-w c:windowsHideWin.exe
2008-12-03 19:07

---

d

---

w c:program filesCommon FilesInstallShield
2008-12-03 18:57

---

d

---

w c:program filesmicrosoft frontpage
2008-11-24 14:32 57,344 —-a-w c:windowssystem32ff_vfw.dll
2008-10-28 22:35 684,032 —-a-w c:windowssystem32divx.dll
2008-10-24 11:10 453,632 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-16 11:13 202,776 —-a-w c:windowssystem32wuweb.dll
2008-10-16 11:13 1,809,944 —-a-w c:windowssystem32wuaueng.dll
2008-10-16 11:12 561,688 —-a-w c:windowssystem32wuapi.dll
2008-10-16 11:12 323,608 —-a-w c:windowssystem32wucltui.dll
2008-10-16 11:09 92,696 —-a-w c:windowssystem32cdm.dll
2008-10-16 11:09 51,224 —-a-w c:windowssystem32wuauclt.exe
2008-10-16 11:09 43,544 —-a-w c:windowssystem32wups2.dll
2008-10-16 11:08 34,328 —-a-w c:windowssystem32wups.dll
2008-09-25 08:03 81,920 —-a-w c:windowssystem32dpl100.dll
2008-09-19 21:57 3,596,288 —-a-w c:windowssystem32qt-dx331.dll
2008-09-15 15:40 1,846,144 —-a-w c:windowssystem32win32k.sys
2006-06-22 10:44 2,078,344 —-a-w c:program filesNPSWF32.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadLibNMBgMonitor.exe» [2007-01-15 147456]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-11-18 3297280]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2007-08-17 23120680]
«swg»=»c:program filesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe» [2008-12-05 171448]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«UserFaultCheck»=»c:windowssystem32dumprep 0 -u» [X]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-05-11 8429568]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2007-05-11 81920]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«WinampAgent»=»c:program filesWinampWinampa.exe» [2001-10-02 10752]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2008-06-10 501080]
«DrWebScheduler»=»c:program filesDrWebDRWEBSCD.EXE» [2008-05-05 283888]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«nwiz»=»nwiz.exe» [2007-05-11 c:windowssystem32nwiz.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2007-04-12 c:windowsRTHDCPL.exe]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«d:\games на Never\w3l.exe»=

PP2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DrWebspidernt.exe [2008-12-06 197896]
R2 SPIDER;SpIDer Guard File System Monitor;??c:progra~1DrWebspider.sys [2008-12-06 268040]
S3 utg4njgz;AVZ Kernel Driver;??c:windowssystem32Driversutg4njgz.sys []
.
— — — — ORPHANS REMOVED — — — —

HKLM-Run-WinPatrol Russian v.2 — c:program filesBillP StudiosWinPatrolwinpatrol.exe

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-07 17:44:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(768)
c:windowssystem32DRWEBSP.DLL
.
Completion time: 2008-12-07 17:45:02
ComboFix-quarantined-files.txt 2008-12-07 14:44:53

Pre-Run: 46 202 380 288 байт свободно
Post-Run: 46,218,371,072 байт свободно

161 — E O F — 2008-12-07 00:11:24

Спасибо.

[Admin]

Combofix лог выглядит нормально.

Волнуюсь, токо по поводу с:windowssystem32cftm.exe так как его пришлось удалить вместе с вирусом. За что он хоть отвечает, и правельно ли я поступил?

Вы правильно поступили, это файл — троян.
К сожалению часто вирус или троян, могут определить один антивирус, но уже другой скажет что с файлом всё нормально. Если нужно проверить файл, то рекомендую сайт virustotal.com

Несколько завершающих действий.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Удалите все скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Leremur]

Зделал все так, как вы велели (Комбо_фикс действительно хорош) Спасибо еще раз. Все доброго.

[Автор]

Сообщения