C:WINDOWSSystem32SVCHOST.EXE (PID: 1752)

[sergej]

добрый день! обращаюсь к вам повторно, помня какую услугу вы мне оказали. у меня проблема следующего рода возникла. при работе в он лайн, через некоторое время выскакивает угроза попытка внедрения C:WINDOWSSystem32SVCHOST.EXE (PID: 1752), после блокировки которой. пропадает звук в компьютере…если ее не блокировать. то меняет цвет монитор голубой на белый и тп…может вы помогли бы справиться с этой заразой?

как у вас и рекомендовано, ниже информация после hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:31, on 29.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesLavasoftAd-Awareaawservice.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
C:Program FilesCommon FilesLightScribeLSSrvc.exe
C:Program FilesSpyware Terminatorsp_rsser.exe
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSATK0100HControl.exe
C:Program FilesASUSTeKASUSDVDPDVDServ.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
C:Program FilesSpell Checker 2SpellChecker2.exe
C:Program FilesVoipDiscount.comVoipDiscountVoipDiscount.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSkypePhoneSkype.exe
C:Program FilesREALTEK RTL8187 Wireless LAN Driver and UtilityRtWLan.exe
C:Program FilesAsusAsus ChkMailChkMail.exe
C:WINDOWSATK0100ATKOSD.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesThe Batthebat.exe
C:WINDOWSsystem32NOTEPAD.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exe

R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O3 — Toolbar: Easy-WebPrint — {327C2873-E90D-4c37-AA9D-10AC9BABA46C} — C:Program FilesCanonEasy-WebPrintToolband.dll
O3 — Toolbar: &Google — {2318C2B1-4965-11d4-9B18-009027A5CD4F} — c:program filesgooglegoogletoolbar1.dll
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 — HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 — HKLM..Run: [HControl] C:WINDOWSATK0100HControl.exe
O4 — HKLM..Run: [ISUSScheduler] «C:Program FilesCommon FilesInstallShieldUpdateServiceissch.exe» -start
O4 — HKLM..Run: [ISUSPM Startup] «C:Program FilesCommon FilesInstallShieldUpdateServiceisuspm.exe» -startup
O4 — HKLM..Run: [RemoteControl] «C:Program FilesASUSTeKASUSDVDPDVDServ.exe»
O4 — HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 — HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [Easy-PrintToolBox] C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE /logon
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «C:Program FilesAdobeReader 8.0ReaderReader_sl.exe»
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe»
O4 — HKCU..Run: [SpellChecker2] C:Program FilesSpell Checker 2SpellChecker2.exe
O4 — HKCU..Run: [VoipDiscount] «C:Program FilesVoipDiscount.comVoipDiscountVoipDiscount.exe» -nosplash -minimized
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [Skype] «C:Program FilesSkypePhoneSkype.exe» /nosplash /minimized
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O4 — Global Startup: ASUS ChkMail.lnk = C:Program FilesAsusAsus ChkMailChkMail.exe
O4 — Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Easy-WebPrint Add To Print List — res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 — Extra context menu item: Easy-WebPrint High Speed Print — res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 — Extra context menu item: Easy-WebPrint Preview — res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O8 — Extra context menu item: Easy-WebPrint Print — res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0SCIEPlgn.dll
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: (no name) — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — (no file)
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O14 — IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — Winlogon Notify: !SASWinLogon — C:Program FilesSUPERAntiSpywareSASWINLO.dll
O23 — Service: Lavasoft Ad-Aware Service (aawservice) — Lavasoft — C:Program FilesLavasoftAd-Awareaawservice.exe
O23 — Service: Kaspersky Anti-Virus 7.0 (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Google Updater Service (gusvc) — Google — C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: LightScribeService Direct Disc Labeling Service (LightScribeService) — Hewlett-Packard Company — C:Program FilesCommon FilesLightScribeLSSrvc.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Spyware Terminator Realtime Shield Service (sp_rssrv) — Crawler.com — C:Program FilesSpyware Terminatorsp_rsser.exe
O23 — Service: StarWind AE Service (StarWindServiceAE) — Rocket Division Software — C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 9049 bytes

благодарю заранее
сергей

[Admin]

Здравствуйте Сергей.
Пожалуйста скачайте свежую версию Combofix.
Запустите, после выполнения программы откроется лог, вставьте его в ваш ответ.

[sergej]

добрый день, просканировал, лог ниже…но результата не дал, более того, стало скорее выскакивать это предупреждениеC:WINDOWSSystem32SVCHOST.EXE только с другими номерами PID: 3082, 3088 и др. кроме этого, в результате сканирования съелись ключи активации ВАТ…и никак не могу сейчас запустить эту программу со старой базой данных. ПОМоГИТЕ!!!!!!!!!!!!!!!!!!

ComboFix 08-10-30.04 — User 2008-10-30 12:21:57.2 — FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1251.1.1049.18.191 [GMT 2:00]
Running from: C:Documents and SettingsUserРабочий столComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:Documents and SettingsUserLocal SettingsTemporary Internet FilesSuggestedSites.dat
C:WINDOWSIE4 Error Log.txt

.
((((((((((((((((((((((((( Files Created from 2008-09-28 to 2008-10-30 )))))))))))))))))))))))))))))))
.

2008-10-29 17:24 . 2008-10-29 17:25

d

---

C:Program FilesTrend Micro
2008-10-28 12:07 . 2008-10-28 12:07 d—hs—- C:Documents and SettingsUserPrivacIE
2008-10-27 15:20 . 2008-10-27 15:20 d

---

C:WINDOWSsystem32ru-ru
2008-10-27 15:20 . 2008-10-27 15:20 d—h

---

C:WINDOWSie8
2008-10-21 15:09 . 2006-11-14 16:21 110,592 —a

---

C:WINDOWSsystem32SynTPCo4.dll
2008-10-21 15:08 . 2008-10-21 15:08 d

---

C:swsetup
2008-10-15 12:34 . 2008-10-15 12:34 d

---

C:WINDOWSApplian FLV Player
2008-10-15 12:34 . 2008-10-15 12:34 d

---

C:Program FilesFLV Player
2008-10-13 20:19 . 2008-10-13 20:19 d

---

C:Program FilesAIDA32 — Enterprise System Information
2008-10-13 13:12 . 2008-10-13 13:12 0 —a

---

C:WINDOWSnsreg.dat
2008-09-26 17:03 . 2008-09-28 17:39 754 —a

---

C:WINDOWSWORDPAD.INI
2008-09-26 11:58 . 2008-09-26 11:58 d

---

C:Documents and SettingsUserApplication DataAhead
2008-09-20 11:07 . 2008-09-20 11:07 d

---

C:Documents and SettingsAll UsersApplication DataSimply Super Software
2008-09-19 22:07 . 2008-09-19 22:07 d

---

C:WINDOWSsystem32CatRoot_bak
2008-09-10 20:14 . 2008-09-10 20:14 d

---

C:WINDOWSERUNT
2008-09-10 15:26 . 2008-09-10 15:26 d

---

C:Program FilesSUPERAntiSpyware
2008-09-10 15:26 . 2008-09-10 15:26 d

---

C:Documents and SettingsAll UsersApplication DataSUPERAntiSpyware.com
2008-09-10 15:22 . 2008-09-10 15:22 d

---

C:WINDOWSDownloaded Installations
2008-09-10 15:22 . 2008-09-10 15:23 d

---

C:Program FilesGRM
2008-09-10 15:10 . 2008-09-10 15:10 d

---

C:Documents and SettingsUserApplication DataskypePM
2008-09-10 15:10 . 2008-09-10 15:10 32 —a

---

C:Documents and SettingsAll UsersApplication Dataezsid.dat
2008-09-10 15:03 . 2008-09-10 15:03 d

---

C:Program FilesCommon FilesSkype
2008-09-09 08:45 . 2008-09-09 08:46 79 —a

---

C:WINDOWSwincmd.ini
2008-09-09 08:45 . 2008-09-09 08:46 11 —a

---

C:WINDOWSwcx_ftp.ini
2008-09-08 22:33 . 2008-09-08 22:33 d

---

C:Documents and SettingsUserApplication DataSUPERAntiSpyware.com
2008-09-08 20:27 . 2008-09-08 20:27 1,294,336

---

C:WINDOWSsystem32ieframe.dll.mui
2008-09-08 20:25 . 2008-09-08 20:25 10,752

---

C:WINDOWSsystem32advpack.dll.mui
2008-09-03 17:07 . 2008-09-03 17:07 d

---

C:Program FilesWinClamAVShield
2008-09-01 19:07 . 2008-09-01 19:07 d

---

C:Program FilesCommon FilesWise Installation Wizard

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-29 22:23 32 —sha-w C:WINDOWSsystem32driversfidbox2.idx
2008-10-29 22:23 32 —sha-w C:WINDOWSsystem32driversfidbox2.dat
2008-10-29 22:23 32 —sha-w C:WINDOWSsystem32driversfidbox.idx
2008-10-29 22:23 32 —sha-w C:WINDOWSsystem32driversfidbox.dat
2008-09-08 18:29 637,984 —-a-w C:WINDOWSsystem32dllcacheiexplore.exe
2008-08-31 15:30

---

d

---

w C:Documents and SettingsUserApplication DataSimply Super Software
2008-08-31 11:18 141,312 —-a-w C:WINDOWSsystem32driverssp_rsdrv2.sys
2008-08-22 01:09 5,699,584 —-a-w C:WINDOWSsystem32dllcachemshtml.dll
2008-08-22 01:08 878,592 —-a-w C:WINDOWSsystem32wininet.dll
2008-08-22 01:08 878,592 —-a-w C:WINDOWSsystem32dllcachewininet.dll
2008-08-22 01:08 43,008 —-a-w C:WINDOWSsystem32licmgr10.dll
2008-08-22 01:08 43,008 —-a-w C:WINDOWSsystem32dllcachelicmgr10.dll
2008-08-22 01:08 236,544 —-a-w C:WINDOWSsystem32dllcachewebcheck.dll
2008-08-22 01:08 1,206,784 —-a-w C:WINDOWSsystem32dllcacheurlmon.dll
2008-08-22 01:07 755,200 —-a-w C:WINDOWSsystem32dllcacheVGX.dll
2008-08-22 01:07 193,536 —-a-w C:WINDOWSsystem32dllcachemsrating.dll
2008-08-22 01:07 18,944 —-a-w C:WINDOWSsystem32dllcachecorpol.dll
2008-08-22 01:07 18,944 —-a-w C:WINDOWSsystem32corpol.dll
2008-08-22 01:07 116,224 —-a-w C:WINDOWSsystem32dllcacheoccache.dll
2008-08-22 01:07 105,984 —-a-w C:WINDOWSsystem32dllcacheurl.dll
2008-08-22 01:05 70,656 —-a-w C:WINDOWSsystem32dllcachemshtmled.dll
2008-08-22 01:05 630,272 —-a-w C:WINDOWSsystem32dllcachemstime.dll
2008-08-22 01:05 48,640

---

w C:WINDOWSsystem32PrivacIE.dll
2008-08-22 01:05 48,128 —-a-w C:WINDOWSsystem32mshtmler.dll
2008-08-22 01:05 48,128 —-a-w C:WINDOWSsystem32dllcachemshtmler.dll
2008-08-22 01:05 45,056 —-a-w C:WINDOWSsystem32dllcachepngfilt.dll
2008-08-22 01:05 35,840 —-a-w C:WINDOWSsystem32imgutil.dll
2008-08-22 01:05 35,840 —-a-w C:WINDOWSsystem32dllcacheimgutil.dll
2008-08-22 01:05 346,624 —-a-w C:WINDOWSsystem32dllcachedxtmsft.dll
2008-08-22 01:05 217,088 —-a-w C:WINDOWSsystem32dllcachedxtrans.dll
2008-08-22 01:05 186,880 —-a-w C:WINDOWSsystem32dllcacheiepeers.dll
2008-08-22 01:04 45,568 —-a-w C:WINDOWSsystem32mshta.exe
2008-08-22 01:04 45,568 —-a-w C:WINDOWSsystem32dllcachemshta.exe
2008-08-22 01:00 68,608 —-a-w C:WINDOWSsystem32dllcachehmmapi.dll
2008-08-22 00:57 156,160 —-a-w C:WINDOWSsystem32msls31.dll
2008-08-22 00:57 156,160 —-a-w C:WINDOWSsystem32dllcachemsls31.dll
2008-08-07 14:27 4,224 —-a-w C:WINDOWSsystem32dllcachebeep.sys
2008-08-05 15:55 265,720 —-a-w C:WINDOWSsystem32msdbg2.dll
2008-07-24 10:56 74,752 —-a-w C:WINDOWScadkasdeinst01e.exe
2008-05-17 11:07 432 —-a-w C:Documents and SettingsUsercubes.dat
2007-04-02 17:46 3,096,576 —-a-w C:Program FilesPROMT Professional 8 Giant.msi
2007-04-02 17:46 197,442,430 —-a-w C:Program FilesData1.cab
2007-03-23 16:35 37 —-a-w C:Program FilesCD.INF
2007-03-23 16:27 2,295 —-a-w C:Program FilesSetup.ini
2007-03-04 13:40 6,620,160 —-a-w C:Program FilesData_.cab
2006-12-18 18:05 23,510,720 —-a-w C:Program Filesdotnetfx20.exe
2006-05-17 10:14 340,912 —-a-w C:Program Filesdotnetfx.exe
2006-05-16 11:02 6,512 —-a-w C:Program Files0x0419.ini
2006-05-16 10:58 2,584,848 —-a-w C:Program FilesWindowsInstaller-KB893803-x86.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«SpellChecker2″=»C:Program FilesSpell Checker 2SpellChecker2.exe» [2005-04-24 409600]
«VoipDiscount»=»c:program filesvoipdiscount.comvoipdiscountvoipdiscount.exe» [2007-05-31 7419456]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2004-08-18 15360]
«Skype»=»C:Program FilesSkypePhoneSkype.exe» [2008-08-11 21741864]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»C:WINDOWSsystem32igfxtray.exe» [2004-07-14 155648]
«HotKeysCmds»=»C:WINDOWSsystem32hkcmd.exe» [2004-07-14 118784]
«HControl»=»C:WINDOWSATK0100HControl.exe» [2005-07-28 102400]
«ISUSScheduler»=»C:Program FilesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-08-11 81920]
«ISUSPM Startup»=»C:Program FilesCommon FilesInstallShieldUpdateServiceisuspm.exe» [2005-08-11 249856]
«RemoteControl»=»C:Program FilesASUSTeKASUSDVDPDVDServ.exe» [2004-11-02 32768]
«SynTPLpr»=»C:Program FilesSynapticsSynTPSynTPLpr.exe» [2004-10-28 98394]
«SynTPEnh»=»C:Program FilesSynapticsSynTPSynTPEnh.exe» [2006-11-14 815104]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«Easy-PrintToolBox»=»C:Program FilesCanonEasy-PrintToolBoxBJPSMAIN.EXE» [2004-01-14 409600]
«Adobe Reader Speed Launcher»=»C:Program FilesAdobeReader 8.0ReaderReader_sl.exe» [2008-01-11 39792]
«SoundMan»=»SOUNDMAN.EXE» [2005-03-07 C:WINDOWSSOUNDMAN.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2004-08-18 15360]

C:Documents and SettingsAll Usersѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
REALTEK RTL8187 Wireless LAN Utility.lnk — C:Program FilesREALTEK RTL8187 Wireless LAN Driver and UtilityRtWLan.exe [2007-09-23 737280]
ASUS ChkMail.lnk — C:Program FilesAsusAsus ChkMailChkMail.exe [2007-08-21 32768]
Adobe Gamma Loader.lnk — C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2007-08-23 113664]

[hkey_local_machinesoftwaremicrosoftwindowscurrentversionexplorerShellExecuteHooks]
«{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}»= «C:Program FilesSUPERAntiSpywareSASSEH.DLL» [2008-05-13 77824]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotify!SASWinLogon]
2008-07-23 16:28 352256 C:Program FilesSUPERAntiSpywareSASWINLO.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«vidc.I420″= i263_32.drv
«vidc.3ivx»= 3ivxVfWCodec.dll
«vidc.3iv2″= 3ivxVfWCodec.dll
«msacm.divxa32″= divxa32.acm
«VIDC.HFYU»= huffyuv.dll
«VIDC.i263″= i263_32.drv
«msacm.imc»= imc32.acm
«VIDC.VP31″= vp31vfw.dll
«VIDC.ACDV»= ACDV.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalAei50.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalosV82.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinad48.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinae15.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf72.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf83.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWincf72.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinfj04.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhk04.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinjm83.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmr48.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinos36.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqx71.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinsw58.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinva36.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyd03.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalXbf71.sys]
@=»Driver»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoring]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
«DisableMonitoring»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe»=
«C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\Russian\setup.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:WINDOWSsystem32driverssp_rsdrv2.sys [2008-08-31 141312]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:WINDOWSsystem32DRIVERSklim5.sys [2007-12-13 24592]
S0 Aei50;Aei50;C:WINDOWSsystem32DriversAei50.sys [ ]
S0 osV82;osV82;C:WINDOWSsystem32DriversosV82.sys [ ]
S0 Winad48;Winad48;C:WINDOWSsystem32DriversWinad48.sys [ ]
S0 Winae15;Winae15;C:WINDOWSsystem32DriversWinae15.sys [ ]
S0 Winbf72;Winbf72;C:WINDOWSsystem32DriversWinbf72.sys [ ]
S0 Winbf83;Winbf83;C:WINDOWSsystem32DriversWinbf83.sys [ ]
S0 Wincf72;Wincf72;C:WINDOWSsystem32DriversWincf72.sys [ ]
S0 Winfj04;Winfj04;C:WINDOWSsystem32DriversWinfj04.sys [ ]
S0 Winhk04;Winhk04;C:WINDOWSsystem32DriversWinhk04.sys [ ]
S0 Winjm83;Winjm83;C:WINDOWSsystem32DriversWinjm83.sys [ ]
S0 Winmr48;Winmr48;C:WINDOWSsystem32DriversWinmr48.sys [ ]
S0 Winos36;Winos36;C:WINDOWSsystem32DriversWinos36.sys [ ]
S0 Winqx71;Winqx71;C:WINDOWSsystem32DriversWinqx71.sys [ ]
S0 Winsw58;Winsw58;C:WINDOWSsystem32DriversWinsw58.sys [ ]
S0 Winva36;Winva36;C:WINDOWSsystem32DriversWinva36.sys [ ]
S0 Winyd03;Winyd03;C:WINDOWSsystem32DriversWinyd03.sys [ ]
S0 Xbf71;Xbf71;C:WINDOWSsystem32DriversXbf71.sys [ ]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:WINDOWSsystem32DRIVERSRTL8187.sys [2006-09-06 180480]
S3 SjyPkt;SjyPkt;C:WINDOWSSystem32DriversSjyPkt.sys [2002-10-02 13532]
.
Contents of the ‘Scheduled Tasks’ folder
.
— — — — ORPHANS REMOVED — — — —

SafeBoot-Imp47.sys
SafeBoot-Jnq82.sys
SafeBoot-Vad48.sys
SafeBoot-Vbe72.sys

.

---

Supplementary Scan

---

.
FireFox -: Profile — C:Documents and SettingsUserApplication DataMozillaFirefoxProfilesz0ulw7q9.default
FireFox -: prefs.js — STARTUP.HOMEPAGE — hxxp://www.google.com/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 12:24:03
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

HKCUSoftwareMicrosoftWindowsCurrentVersionRun
SpellChecker2 = C:Program FilesSpell Checker 2SpellChecker2.exe???B?????????????????????????????C???????????C???B?B???????????B?????????????B??

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-10-30 12:25:06
ComboFix-quarantined-files.txt 2008-10-30 10:25:04

Pre-Run: 4 348 551 168 байт свободно
Post-Run: 4,362,813,440 байт свободно

239 — E O F — 2008-08-05 10:25:35

[Admin]

Combofix показал множество троянов, которые под видом драйверов установились на ваш компьютер.

Откройте блокнот и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalAei50.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalosV82.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinad48.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinae15.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf72.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinbf83.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWincf72.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinfj04.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinhk04.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinjm83.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinmr48.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinos36.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinqx71.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinsw58.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinva36.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinyd03.sys]

[-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalXbf71.sys]



File::

C:WINDOWSsystem32DriversAei50.sys

C:WINDOWSsystem32DriversosV82.sys

C:WINDOWSsystem32DriversWinad48.sys

C:WINDOWSsystem32DriversWinae15.sys

C:WINDOWSsystem32DriversWinbf72.sys

C:WINDOWSsystem32DriversWinbf83.sys

C:WINDOWSsystem32DriversWincf72.sys

C:WINDOWSsystem32DriversWinfj04.sys

C:WINDOWSsystem32DriversWinhk04.sys

C:WINDOWSsystem32DriversWinjm83.sys

C:WINDOWSsystem32DriversWinmr48.sys

C:WINDOWSsystem32DriversWinos36.sys

C:WINDOWSsystem32DriversWinqx71.sys

C:WINDOWSsystem32DriversWinsw58.sys

C:WINDOWSsystem32DriversWinva36.sys

C:WINDOWSsystem32DriversWinyd03.sys

C:WINDOWSsystem32DriversXbf71.sys



Driver::

Aei50

osV82

Winad48

Winae15

Winbf72

Winbf83

Wincf72

Winfj04

Winhk04

Winjm83

Winmr48

Winos36

Winqx71

Winsw58

Winva36

Winyd03

Xbf71

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

По-поводу The Bat. Программа требует повторить активацию ?

[sergej]

The Bat по этому поводу происходит следующее: он запускается так. словно я его только что загрузил. т.е. просит его установить….при установке естественно просит либо оплатить, либо использовать как триал 30 суток. я сделал восстановление системы, все пришло с The Bat в норму. сейчас просто боюсь по новой пользовать combofix. что вы посоветуете?

[Admin]

Тут вам нужно решить, удалить трояны или решить проблему с Батом таким образом. Если у вас оплаченная версия, то в чём проблема активировать её снова ?

[sergej]

добрый день, валерий! благодарю вас за предыдущие советы, НО К СОЖАЛЕНИЮ, ПОСЛЕ ВЫПОЛНЕННОЙ РЕКОМЕНДАЦИИ РЕКОМЕНДАЦИИ, МОЙ WINDOWS СЛОМАЛСЯ. НЕ ЗАПУСКАЛАСЬ НИ ОДНА ПРОГРАММА, НЕ ШЛО НИ ВОССТАНОВЛЕНИЕ, НИ ОТКАТ СИСТЕМЫ, ДАЖЕ SAFE MODE НИЧЕГО НЕ ПОМОГ. ПРИШЛОСЬ ПО НОВОЙ ИНСТАЛЛИРОВАТЬ WINDOWS XP HOME. ПРИЧЕМ/, СМОГ ЭТО СДЕЛАТЬ ТОЛЬКО ЧЕРЕЗ F7, НОРМАЛЬНО НЕ ЗАПУСКАЛОСЬ. Т.К. ПОКА НАХОЖУСЬ В ИТАЛИИ, УСТАНАВЛИВАЛ НА ИТАЛЬЯНСКОМ ЯЗЫКЕ С ПЕРЕВОДЧИКОМ, И НЕ СМОТРЯ НА ТО, ЧТО ВЫПОЛНИЛ ВСЕ УСТАНОВКИ ДЛЯ ВКЛЮЧЕНИЯ РУССКОГО ЯЗЫКА, ОН ПОЛУЧИЛСЯ ТОЛЬКО НА КЛАВИАТУРЕ. ВСЕ ОСТАЛЬНОЕ НА ИТАЛЬЯНСКОМ. МОЖЕТ ВЫ МОГЛИ БЫ МНЕ ПОСОВЕТОВАТЬ, КАК ПЕРЕЙТИ НА РУССКИЙ ИНТЕФЕЙС? ВЕРСИЯ РЕГИСТРИРОВАННАЯ, НЕ ПИРАТСКАЯ. МОЖЕТ ЧТО ТО МОЖНО СКАЧАТЬ С ИНТЕРНЕТА ИЛИ ВЫ ПОДСКАЖЕТЕ ДРУГОЙ ШАГ?
БЛАГОДАРЮ ЗА ОТВЕТ….ХОРОШЕГО ВАМ ДНЯ

[Admin]

Здравствуйте, странно что Windows слетела. Так как ничего страшного мы не сделали.
Надо было не спешить ставить свежую Windows, а всё же обратиться ко мне, возможно вдвоём решили бы эту проблему более успешно.

По-поводу итальянской версии WindowsXP home, у Windows есть хорошая штука MUI, благодаря чему можно полностью менять язык системы. НО это доступно только для профессиональной версии.
Таким образом у вас остаётся два варианта, учить итальянский или купить профессиональную версию WindowsXP, затем попробовать скачать с сайта Microsoft MUI и установить на компьютер или каким-либо образом купить русифицированную WindowsXP home.

[Автор]

Сообщения