Еще раз здраствуйте Valeri [services.exe worm]

[ThSt]

Здраствуйте. Вот снова хочу обратиться к вам за помощью, есть подозрение на вирусытрояны.
Мой антивирусник McAfee, после подключения к интернету, один раз или каждую минуту блокирует порты по каким то своим «правилам блокировки портов», пишет что то вроде «mass worm mailing sending», я так понял массовая рассылка червей, и пишет какой нить ай пи, все время разный, я не пойму, меня ли атакуют или с меня идет рассылка червей, это всего лишь мои догадки, и пишит антивирус, что было это действие выполнено процессом services.exe, после проверки SpyBot’ом, он нашел что-то про кукисы в опере, експлорере, и вот как раз какое то замечание по реестру, где в конце было написано services.exe, я решил удалить, после перезагрузки компа, обнаружил в процессах что плодяться 2 процесса: cmd.exe, services.exe, расплодилось их так много что было уже 170 процессов, я загрузил SpyBot и восстановил то что удалил, после перезагрузки все пришло в норму, но замечания антивируса на массовую рассылку при кодключении интернета продолжаются…
вот примеры записей моего антивируса:
01.10.2008 10:14:12 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.54.244.200:25
01.10.2008 10:34:52 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.54.244.136:25
01.10.2008 10:35:53 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 205.188.156.248:25
вот лог файл HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:41:48, on 01.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:WINDOWSExplorer.EXE
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:Program FilesD-LinkDSL-200dslstat.exe
C:Program FilesD-LinkDSL-200dslagent.exe
C:WINDOWSservices.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:Program FilesOperaACopera.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Yahoo! Companion BHO — {02478D38-C3F9-4efb-9B51-7695ECA05670} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_06binssv.dll
O2 — BHO: scriptproxy — {7DB2D5A0-7241-4E79-B68D-6309F01C5231} — C:Program FilesMcAfeeVirusScan EnterpriseScriptcl.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: &Yahoo! Companion — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» /StartedFromRunKey
O4 — HKLM..Run: [DSLSTATEXE] C:Program FilesD-LinkDSL-200dslstat.exe icon
O4 — HKLM..Run: [DSLAGENTEXE] C:Program FilesD-LinkDSL-200dslagent.exe
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [services] C:WINDOWSservices.exe
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKCU..Run: [FreeCall] «H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Startup: HDDlife.lnk = C:Documents and SettingsAdminLocal SettingsTempRar$EX00.343Portable_HDD_Life_Pro_2.9.105Portable_HDD_Life_Pro_2.9.105HDD Life Pro 2.9.105HDDlifePro.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: (no name) — Cmdmapping — (no file) (HKCU)
O16 — DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) — C:Program FilesYahoo!CommonYinsthelper.dll
O17 — HKLMSystemCCSServicesTcpip..{6C6AB72C-F7FB-4D4A-9D19-200F2CD34667}: NameServer = 82.200.130.231 82.200.130.10
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) — ABBYY (BIT Software) — C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Pml Driver HPZ12 — HP — C:WINDOWSsystem32HPZipm12.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Remote Administrator Service (r_server) — Unknown owner — C:WINDOWSsystem32r_server.exe (file missing)
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 10326 bytes

[Admin]

Здравствуйте, рад буду помочь снова 😉

Да, судя по всему что то проникло на ваш компьютер.
В HijackThis логе есть строка описывающая запуск подозрительного файла.

O4 - HKLM..Run: [services] C:WINDOWSservices.exe

Но не будем спешить её удалять.
Для начала проверьте файл C:WINDOWSservices.exe на сайте VirusTotal

В поле Отправить файл кликните по кнопке Browse/Обзор.
Выберите подозрительный фай, о котором я писал выше.
Кликните по кнопке Отправить файл.

Результат сканирования вставьте в ваше ответное сообщение.
Далее, отключите мониторинг (автозащиту) антивируса и программы SpyBot.
Автозащиту SpyBot можно отключить следующим образом.

Запустите SpyBot.
В верхнем меню, выберите подменю Режим, в нём Расширенный.
В меню слева выберите Инструменты.
В открывшемся слева списке выберите Резидент.
В окне справа, снимите галочки в обеих пунктах.
Закройте SpyBot.

Скачайте свежую версию Combofix и запустите.

Таким образом жду от вас результат сканирования на сайте VirusTotal и Combofix лог.

[ThSt]

Все сделал, небольшие пояснения:
на сайте VirusTotal, когда в обзоре зашел в папку C:WINDOWS, мой антивирусник сразу удалил этот файл C:WINDOWSinnounp.exe, приписав ему статус Generic.dx, ну это так его McAfee знает, и вспомнил что его же он удалял, когда шло сканирование сисемы SpyBot’ом, антивирусник написал что удали его в результате работы SpyBot’а, и я посчитал что это мог быть компонент SpyBot’а, и восстановил этот файл, теперь же он написал что удалил его при работе оперы, ия понял что это не относиться к приложиниям, просто антивирус сканирует то что я сам смотрю, открыв папку C:WINDOWS, он его нашел и удалил, но я его все равно восстановил, т.к. возможно его надо не удалять, а лечить… и также его просканировал через сайт VirusTotal…
вот лог файл от VirusTotal про C:WINDOWSservices.exe:
Файл services.exe получен 2008.09.30 22:18:26 (CET)
Текущий статус: закончено
Результат: 2/36 (5.56%)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.10.1.0 2008.09.30 —
AntiVir 7.8.1.34 2008.09.30 —
Authentium 5.1.0.4 2008.09.30 —
Avast 4.8.1195.0 2008.09.30 —
AVG 8.0.0.161 2008.09.30 —
BitDefender 7.2 2008.09.30 —
CAT-QuickHeal 9.50 2008.09.30 (Suspicious) — DNAScan
ClamAV 0.93.1 2008.09.30 —
DrWeb 4.44.0.09170 2008.09.30 —
eSafe 7.0.17.0 2008.09.30 —
eTrust-Vet 31.6.6118 2008.09.30 —
Ewido 4.0 2008.09.30 —
F-Prot 4.4.4.56 2008.09.30 —
F-Secure 8.0.14332.0 2008.09.30 —
Fortinet 3.113.0.0 2008.09.30 —
GData 19 2008.09.30 —
Ikarus T3.1.1.34.0 2008.09.30 —
K7AntiVirus 7.10.478 2008.09.30 —
Kaspersky 7.0.0.125 2008.09.30 —
McAfee 5394 2008.09.30 —
Microsoft 1.4005 2008.09.30 TrojanDownloader:Win32/Cutwail.AA
NOD32 3484 2008.09.30 —
Norman 5.80.02 2008.09.30 —
Panda 9.0.0.4 2008.09.30 —
PCTools 4.4.2.0 2008.09.30 —
Prevx1 V2 2008.09.30 —
Rising 20.63.62.00 2008.09.28 —
SecureWeb-Gateway 6.7.6 2008.09.30 —
Sophos 4.34.0 2008.09.30 —
Sunbelt 3.1.1675.1 2008.09.27 —
Symantec 10 2008.09.30 —
TheHacker 6.3.0.9.097 2008.09.29 —
TrendMicro 8.700.0.1004 2008.09.30 —
VBA32 3.12.8.6 2008.09.30 —
ViRobot 2008.9.30.1398 2008.09.30 —
VirusBuster 4.5.11.0 2008.09.30 —
Дополнительная информация
File size: 40448 bytes
MD5…: 14ca7a9d1f30d107c7f0162b40427e92
SHA1..: 8a37228c620e71f411f8953e01b276c7f1ef3be0
SHA256: c35513ca1ffb963e86a37f488c43af56d52d660051e17ce37a40582c11df2596
SHA512: a34e27c86d85b6f6be5227d6f070b06062468ec68288de041fb0a15d9cdf88cf
1afeb290de40b69ba6e8407b76fe49869e61624375c1f8ba2f732a97d9cbe32d
PEiD..: —
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3e15b8
timedatestamp…..: 0x48e27220 (Tue Sep 30 18:38:24 2008)
machinetype…….: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba4 0xc00 5.80 4304d57a7285875c168c6a1ad90f7408
.rdata 0x2000 0x164 0x200 3.41 2fc88b98efb6737ac6e22cebb9312eb9
.data 0x3000 0x33860 0x8800 7.93 f077b743e85c9e8d9479831096f75308
.rsrc 0x37000 0x2e0 0x400 2.56 5368d1ba1182b085f54b6395e54d5171

( 1 imports )
> KERNEL32.dll: VirtualProtect, GetProcAddress, LoadLibraryA, GetModuleHandleA, ReadFile, WriteFile, CloseHandle, CreateThread, CreatePipe, ExitProcess

( 0 exports )

а вот лог файл от VirusTotal про C:WINDOWSinnounp.exe, как я понял его признали большинство:
Файл innounp.exe получен 2008.09.20 12:13:55 (CET)
Текущий статус: закончено
Результат: 19/36 (52.78%)
Антивирус Версия Обновление Результат
AhnLab-V3 — — —
AntiVir — — —
Authentium — — W32/Heuristic-210!Eldorado
Avast — — Win32:Trojan-gen {Other}
AVG — — Generic10.XFN
BitDefender — — —
CAT-QuickHeal — — (Suspicious) — DNAScan
ClamAV — — —
DrWeb — — —
eSafe — — Suspicious File
eTrust-Vet — — —
Ewido — — —
F-Prot — — W32/Heuristic-210!Eldorado
F-Secure — — W32/Packed_Upack.A
Fortinet — — —
GData — — Win32:Trojan-gen
Ikarus — — Virus.Win32.Trojan
K7AntiVirus — — Trojan.Win32.Malware.1
Kaspersky — — —
McAfee — — Generic.dx
Microsoft — — —
NOD32v2 — — —
Norman — — W32/Packed_Upack.A
Panda — — —
PCTools — — Packed/Upack
Prevx1 — — —
Rising — — —
Sophos — — Sus/ComPack-K
Sunbelt — — VIPRE.Suspicious
Symantec — — —
TheHacker — — W32/Behav-Heuristic-060
TrendMicro — — PAK_Generic.006
VBA32 — — —
ViRobot — — —
VirusBuster — — Packed/Upack
Webwasher-Gateway — — Win32.Malware.gen (suspicious)
Дополнительная информация
MD5: 8a93c3415a3ebc7cf4ebd5ace6cb062d
SHA1: c812b4f41d318a83e6ae71375e01c8a644fab697
SHA256: 9f13fd5d3cac4362c0523c98b6411b1f576049017f262783bc0e5c8cc566db55
SHA512: 63f02e4d508329898188444929a390489404bb32aa1b47ca5360b3bba73dbea93c9e21a85ed69237833734f9a1508a0bda9a8357fad5c21487b92aeb0cfc2b7e

и наконец лог файл от ComboFix, как я понял он удалил C:WINDOWSservices.exe, а C:WINDOWSinnounp.exe не тронул:
ComboFix 08-09-30.03 — Admin 2008-10-01 17:17:22.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1640 [GMT 4:00]
Running from: C:Documents and SettingsAdminРабочий столComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:WINDOWSservices.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_R_SERVER

---

Service_r_server

((((((((((((((((((((((((( Files Created from 2008-09-01 to 2008-10-01 )))))))))))))))))))))))))))))))
.

2008-10-01 17:13 . 2008-10-01 17:13 94,564 —a

---

C:WINDOWSINNOUNP.EXE
2008-09-29 01:07 . 2008-09-29 01:08 d

---

C:Program FilesMMetro
2008-09-23 18:20 . 2008-09-23 18:20 d

---

C:Program FilesCreative
2008-09-23 18:20 . 2002-06-06 14:38 139,264 —a

---

C:WINDOWSsystem32eax.dll
2008-09-23 18:14 . 2003-04-16 16:49 233,472 -ra

---

C:WINDOWSsystem32MafiaSetup.exe
2008-09-22 21:38 . 2008-09-22 21:38 d

---

C:TempPDFT20
2008-09-22 21:38 . 2008-09-22 21:38 d

---

C:Temp
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:WINDOWSsystem323Planesoft
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:Program FilesEarth 3D Screensaver
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:Program Files3Planesoft Screensaver Manager
2008-09-22 21:09 . 2007-02-28 12:51 13,243,392 —a

---

C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-22 21:09 . 2007-02-28 12:52 768,512 —a

---

C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-22 21:09 . 2007-02-27 01:59 409,600 —a

---

C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-22 21:09 . 2006-07-19 14:46 8,001 —a

---

C:WINDOWSEarth 3D Screensaver.html
2008-09-19 00:21 . 2006-01-14 06:25 81,920 —a

---

C:WINDOWSsystem32ImageDrive.cpl
2008-09-18 12:49 . 2008-09-18 12:49 d

---

C:Documents and SettingsAdminApplication DataRadmin Communication Client
2008-09-18 12:48 . 2008-09-18 12:48 d

---

C:Documents and SettingsAdminApplication DataRadmin
2008-09-15 23:21 . 2008-09-30 00:33 d

---

C:Program FilesBeeOnLine-Express 2.0
2008-09-12 23:13 . 2008-09-12 23:13 d

---

C:Documents and SettingsAll UsersApplication DataFLEXnet
2008-09-12 22:34 . 2008-09-12 22:34 486 —a

---

C:rb_config.js
2008-09-11 11:44 . 2008-09-11 11:45 38 —a

---

C:WINDOWSavisplitter.INI
2008-09-09 20:07 . 2008-10-01 09:46 d

---

C:Program FilesSpybot — Search & Destroy
2008-09-09 20:07 . 2008-10-01 10:05 d

---

C:Documents and SettingsAll UsersApplication DataSpybot — Search & Destroy
2008-09-08 23:55 . 2008-09-08 23:55 d

---

C:Documents and SettingsAdminApplication DataBinarySense
2008-09-08 17:55 . 2008-10-01 17:13 d

---

C:QUARANTINE
2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57 d

---

C:Program FilesTrend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-30 20:11

---

d

---

w C:Documents and SettingsAdminApplication DataSkype
2008-09-29 20:33

---

d

---

w C:Documents and SettingsAdminApplication DataskypePM
2008-09-28 21:23

---

d

---

w C:Documents and SettingsAdminApplication DataThe Bat!
2008-09-28 15:54

---

d

---

w C:Documents and SettingsAdminApplication DatauTorrent
2008-09-03 16:52

---

d

---

w C:Program FilesYahoo!
2008-08-31 09:57

---

d

---

w C:Program FilesМастер Открыток
2008-08-21 20:37

---

d

---

w C:Documents and SettingsAdminApplication DataPRMT
2008-08-21 20:33

---

d

---

w C:Program FilesPRMT8
2008-08-21 20:32

---

d

---

w C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-21 20:31

---

d

---

w C:Program FilesMSBuild
2008-08-21 20:30

---

d

---

w C:Program FilesReference Assemblies
2008-08-17 10:37

---

d

---

w C:Program FilesCommon FilesSkype
2008-08-17 10:37

---

d

---

w C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 10:10

---

d

---

w C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 10:09

---

d

---

w C:Program FilesCommon FilesArcSoft
2008-08-17 10:08

---

d—h—w C:Program FilesInstallShield Installation Information
2008-08-17 10:08

---

d

---

w C:Program FilesArcSoft
2008-08-17 09:59

---

d

---

w C:Program FilesVimicro
2008-08-16 10:36

---

d

---

w C:Program FilesABBYY FineReader 9.0
2008-08-16 10:36

---

d

---

w C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 10:33

---

d

---

w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 10:30

---

d

---

w C:Documents and SettingsAdminApplication DataHP
2008-08-16 10:27

---

d

---

w C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 10:26

---

d

---

w C:Program FilesHP
2008-08-16 10:26

---

d

---

w C:Program FilesCommon FilesHP
2008-08-16 10:25

---

d

---

w C:Program FilesHewlett-Packard
2008-08-16 10:25

---

d

---

w C:Program FilesCommon FilesHewlett-Packard
2008-08-12 15:38

---

d

---

w C:Documents and SettingsAll UsersApplication DatanView_Profiles
2008-08-10 20:15

---

d

---

w C:Program FilesOperaAC
2008-08-02 10:46

---

d

---

w C:Program FilesGoogle
2008-08-02 09:06

---

d

---

w C:Program FilesCommon FilesAdobe
2008-08-02 09:06

---

d

---

w C:Documents and SettingsAdminApplication DataAdobeUM
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

---

Sigcheck

---

2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll

2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll

2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys

2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe

2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe

2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a

---

2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a

---

2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a

---

2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a

---

2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a

---

2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a

---

2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a

---

2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a

---

2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a

---

2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a

---

2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r

---

2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a

---

2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r

---

2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-FreeCall — H:Program FilesFreeCall.comFreeCallFreeCall.exe

.

---

Supplementary Scan

---

.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 -: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm —
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe —
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe —
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm —
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 17:20:14
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

Other Running Processes

---

.
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesMcAfeeCommon FrameworkMctray.exe
C:ComboFixpv.cfexe
C:ComboFixpv.cfexe
.
**************************************************************************
.
Completion time: 2008-10-01 17:22:00 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-01 13:21:58

Pre-Run: 36 197 875 712 байт свободно
Post-Run: 36,177,530,880 Ў ©в бў®Ў®¤­®

238

[Admin]

Combofix удалил C:WINDOWSservices.exe и его автозапуск из реестра.

По поводу файла C:WINDOWSinnounp.exe. Хотя VirusTotal показывает что файл опасный, но все эти предупреждения, если обратить внимание, являются только констатацией факта того, что файл запакован, и распаковывается при запуске. К сожалению многие вирусы и трояны сделаны таким образом, поэтому антивирусы предупреждают пользователя.
Но в любом случае, если ваш антивирус предлагает поместить его в карантин, то сделайте это. В случае необходимости его можно будет восстановить.

Как сейчас работает компьютер исчезли описанные ранее проблемы ?

[ThSt]

Да, проблемы исчезли сразу после удаления CombFix’ом C:WINDOWSservices.exe, больше антивирус не срабатывает….
А C:WINDOWSinnounp.exe, вы точно не знаете что это, и должно ли что то подобное быть в C:WINDOWS? ведь я и раньше заходил в эту папку и антивирус так не срабатывал…
В любом случае так и сделаю, помещю в карантин, посмотрю как перезагрузиться система…
Главная проблема, с постоянной блокировкой портов для отсылки чего то решена! и я вам еще раз очень благодарен 🙂

[ThSt]

Перезагрузка прошла успешно, файл innounp.exe заново не появился, и я деинсталировал ComboFix.

[Admin]

innounp.exe — это официально распаковщик инсталляторов. Возможно троян использовал его в своей работе.

Рад помочь 😉
Всего доброго!

[ThSt]

Это снова я 😥
сегодня изночальная проблема вернулась, расскажу по порядку: в этот момент меня за компом не было, вылезло предупреждение от SpyBot’а что services.exe хочет прописаться в реестре, ему было отказано, но услышав об этом я понял что все равно придеться лечиться, запускаю комп, проверяю папку C:WINDOWS, services.exe там, сначало хотел повторить нашу с вами процедуру удаления, и решил отписаться на форуме, однако при подключении интернета удивился что антивирус снова начал блокировать порты, ведь SpyBot’ом было запрещено прописывание в реестре, посмотрел лог файл от антивируса, оказываеться теперь эта «массовая рассылка червей» происходит через файл C:WINDOWSsystem32svchost.exe, а потом еще было видно что и через C:WINDOWSservices.exe тоже идет но меньше, и что интересно ай пи от C:WINDOWSsystem32svchost.exe везде одинаковый, а от C:WINDOWSservices.exe разный, вот лог файл от антивируса:
05.10.2008 13:01:54 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:04:41 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:06:43 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:07:47 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 209.191.88.247:25
05.10.2008 13:10:48 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:12:49 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:14:51 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:16:53 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:18:55 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:20:57 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:22:59 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:25:01 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:27:03 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:28:51 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.54.244.200:25
05.10.2008 13:29:51 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 64.12.139.249:25
05.10.2008 13:31:07 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:33:09 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:35:11 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:30:28 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:32:33 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:34:35 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:39:57 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:41:58 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:43:18 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:45:23 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:47:25 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25

вот лог файл от HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:15, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:WINDOWSExplorer.EXE
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:Program FilesD-LinkDSL-200dslstat.exe
C:Program FilesD-LinkDSL-200dslagent.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesOperaACopera.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Yahoo! Companion BHO — {02478D38-C3F9-4efb-9B51-7695ECA05670} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_06binssv.dll
O2 — BHO: scriptproxy — {7DB2D5A0-7241-4E79-B68D-6309F01C5231} — C:Program FilesMcAfeeVirusScan Enterprisescriptcl.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: &Yahoo! Companion — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» /StartedFromRunKey
O4 — HKLM..Run: [DSLSTATEXE] C:Program FilesD-LinkDSL-200dslstat.exe icon
O4 — HKLM..Run: [DSLAGENTEXE] C:Program FilesD-LinkDSL-200dslagent.exe
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Startup: HDDlife.lnk = C:Documents and SettingsAdminLocal SettingsTempRar$EX00.343Portable_HDD_Life_Pro_2.9.105Portable_HDD_Life_Pro_2.9.105HDD Life Pro 2.9.105HDDlifePro.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: (no name) — Cmdmapping — (no file) (HKCU)
O16 — DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) — C:Program FilesYahoo!CommonYinsthelper.dll
O17 — HKLMSystemCCSServicesTcpip..{6C6AB72C-F7FB-4D4A-9D19-200F2CD34667}: NameServer = 82.200.130.231 82.200.130.10
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) — ABBYY (BIT Software) — C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FCI — Unknown owner — C:WINDOWSsystem32svchost.exe:ext.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Pml Driver HPZ12 — HP — C:WINDOWSsystem32HPZipm12.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 10164 bytes

И вот интересно, откуда эта зараза лезит, из инета или у меня что то осталось с того раза? 😥

[ThSt]

Вот еще что интересного удалось найти, в истории SpyBot’a в файле Resident:
22.09.2008 21:09:58 Разрешено (based on user decision) value «scrnsave.exe» (new data: «C:WINDOWSsystem323PLANE~1.SCR») добавлено in Desktop settings!
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
01.10.2008 0:09:35 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:43 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:50 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:54 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:58 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:10:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:12:06 Разрешено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 17:16:06 Разрешено (based on user decision) value «{53707962-6F74-2D53-2644-206D7942484F}» (new data: «») удалено in Browser Helper Object!
01.10.2008 17:47:29 Разрешено (based on authenticode whitelist) value «SpybotSD TeaTimer» (new data: «C:Program FilesSpybot — Search & DestroyTeaTimer.exe») добавлено in System Startup user entry!
01.10.2008 17:47:47 Разрешено (based on user decision) value «FreeCall» (new data: «») удалено in System Startup user entry!
01.10.2008 17:47:48 Разрешено (based on user decision) value «services» (new data: «») удалено in System Startup global entry!
01.10.2008 17:48:35 Запрещено (based on user decision) value «scrnsave.exe» (new data: «») удалено in Desktop settings!
05.10.2008 13:02:12 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:17 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:30 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:37 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
и дальше эта строка про «services» повторяеться чуть ли не каждую секунду, возможно где то здесь есть ответ на вопрос, откуда пошло заражение?
очень смущает вот эта строка:
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
что за FreeCall, буквы «H» у меня нет, значит это был переносной носитель, флешка или мини-жеский…

[Admin]

Странная ситуация. Очевидно вы заразились снова.

Пожалуйста скачайте свежую версию Combofix. Запустите и вставьте лог файл в ваше следующие сообщение.

[ThSt]

Лог файл от ComboFix:
ComboFix 08-10-04.07 — Admin 2008-10-05 18:45:33.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1629 [GMT 4:00]
Running from: C:Documents and SettingsAdminРабочий столComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS — svchost.exe: deleted 25088 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:WINDOWSservices.exe
C:WINDOWSsystem32a.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_FCI

---

Service_FCI

((((((((((((((((((((((((( Files Created from 2008-09-05 to 2008-10-05 )))))))))))))))))))))))))))))))
.

2008-09-29 01:07 . 2008-09-29 01:08

d

---

C:Program FilesMMetro
2008-09-23 18:20 . 2008-09-23 18:20 d

---

C:Program FilesCreative
2008-09-23 18:20 . 2002-06-06 14:38 139,264 —a

---

C:WINDOWSsystem32eax.dll
2008-09-23 18:14 . 2003-04-16 16:49 233,472 -ra

---

C:WINDOWSsystem32MafiaSetup.exe
2008-09-22 21:38 . 2008-09-22 21:38 d

---

C:TempPDFT20
2008-09-22 21:38 . 2008-09-22 21:38 d

---

C:Temp
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:WINDOWSsystem323Planesoft
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:Program FilesEarth 3D Screensaver
2008-09-22 21:09 . 2008-09-22 21:09 d

---

C:Program Files3Planesoft Screensaver Manager
2008-09-22 21:09 . 2007-02-28 12:51 13,243,392 —a

---

C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-22 21:09 . 2007-02-28 12:52 768,512 —a

---

C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-22 21:09 . 2007-02-27 01:59 409,600 —a

---

C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-22 21:09 . 2006-07-19 14:46 8,001 —a

---

C:WINDOWSEarth 3D Screensaver.html
2008-09-19 00:21 . 2006-01-14 06:25 81,920 —a

---

C:WINDOWSsystem32ImageDrive.cpl
2008-09-18 12:49 . 2008-09-18 12:49 d

---

C:Documents and SettingsAdminApplication DataRadmin Communication Client
2008-09-18 12:48 . 2008-09-18 12:48 d

---

C:Documents and SettingsAdminApplication DataRadmin
2008-09-15 23:21 . 2008-10-04 15:14 d

---

C:Program FilesBeeOnLine-Express 2.0
2008-09-12 23:13 . 2008-09-12 23:13 d

---

C:Documents and SettingsAll UsersApplication DataFLEXnet
2008-09-12 22:34 . 2008-09-12 22:34 486 —a

---

C:rb_config.js
2008-09-11 11:44 . 2008-09-11 11:45 38 —a

---

C:WINDOWSavisplitter.INI
2008-09-09 20:07 . 2008-10-01 09:46 d

---

C:Program FilesSpybot — Search & Destroy
2008-09-09 20:07 . 2008-10-01 10:05 d

---

C:Documents and SettingsAll UsersApplication DataSpybot — Search & Destroy
2008-09-08 23:55 . 2008-09-08 23:55 d

---

C:Documents and SettingsAdminApplication DataBinarySense
2008-09-08 17:55 . 2008-10-01 17:50 d

---

C:QUARANTINE
2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57 d

---

C:Program FilesTrend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 14:43

---

d

---

w C:Documents and SettingsAdminApplication DatauTorrent
2008-10-05 10:58

---

d

---

w C:Documents and SettingsAdminApplication DataThe Bat!
2008-10-05 09:01

---

d

---

w C:Documents and SettingsAdminApplication DataSkype
2008-10-04 18:04

---

d

---

w C:Documents and SettingsAdminApplication DataskypePM
2008-09-03 16:52

---

d

---

w C:Program FilesYahoo!
2008-08-31 09:57

---

d

---

w C:Program FilesМастер Открыток
2008-08-21 20:37

---

d

---

w C:Documents and SettingsAdminApplication DataPRMT
2008-08-21 20:33

---

d

---

w C:Program FilesPRMT8
2008-08-21 20:32

---

d

---

w C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-21 20:31

---

d

---

w C:Program FilesMSBuild
2008-08-21 20:30

---

d

---

w C:Program FilesReference Assemblies
2008-08-17 10:37

---

d

---

w C:Program FilesCommon FilesSkype
2008-08-17 10:37

---

d

---

w C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 10:10

---

d

---

w C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 10:09

---

d

---

w C:Program FilesCommon FilesArcSoft
2008-08-17 10:08

---

d—h—w C:Program FilesInstallShield Installation Information
2008-08-17 10:08

---

d

---

w C:Program FilesArcSoft
2008-08-17 09:59

---

d

---

w C:Program FilesVimicro
2008-08-16 10:36

---

d

---

w C:Program FilesABBYY FineReader 9.0
2008-08-16 10:36

---

d

---

w C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 10:33

---

d

---

w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 10:30

---

d

---

w C:Documents and SettingsAdminApplication DataHP
2008-08-16 10:27

---

d

---

w C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 10:26

---

d

---

w C:Program FilesHP
2008-08-16 10:26

---

d

---

w C:Program FilesCommon FilesHP
2008-08-16 10:25

---

d

---

w C:Program FilesHewlett-Packard
2008-08-16 10:25

---

d

---

w C:Program FilesCommon FilesHewlett-Packard
2008-08-12 15:38

---

d

---

w C:Documents and SettingsAll UsersApplication DatanView_Profiles
2008-08-10 20:15

---

d

---

w C:Program FilesOperaAC
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

---

Sigcheck

---

2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll

2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll

2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys

2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe

2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe

2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a

---

2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a

---

2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a

---

2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a

---

2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a

---

2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a

---

2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a

---

2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a

---

2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a

---

2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a

---

2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r

---

2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a

---

2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r

---

2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.
.

---

Supplementary Scan

---

.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 -: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm —
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe —
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe —
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm —
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 18:48:36
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

Other Running Processes

---

.
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesMcAfeeCommon FrameworkMctray.exe
C:ComboFixpv.cfexe
C:ComboFixpv.cfexe
.
**************************************************************************
.
Completion time: 2008-10-05 18:50:23 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-05 14:50:20
ComboFix2.txt 2008-10-01 13:22:01

Pre-Run: 36 133 785 600 байт свободно
Post-Run: 36,083,695,616 байт свободно

235

[ThSt]

Вот еще что интересногго нашел, помогите пожалуста разобраться, просканировал диск С:, нашел:
C:Program FilesOperaACMiscobook pluginOBhook.dll зафиксировал как Generic Downloader.x, тип Trojan, как только зашел в эту папку и выделил его, антивирус тут же его удалил…
C:Program FilesTotal CommanderPluginsarcDefault.sfx зафиксировал как Generic.dx тип Trojan, как только зашел в эту папку и выделил его, антивирус тут же его удалил…

[Admin]

Combofix подчистил ваш компьютер, и теперь выглядит всё нормально.

По поводу файлов, если первый судя по всему действительно троян, то вот второй файл возможно нет.
Антивирусы, бывает, за трояны выдают все файлы запакованые странным, по их мнению, образом.

Как сейчас поживает ваш компьютер ?
По поводу заражения, возможно вы скачивали с Интернета какие-либо программы ?

[ThSt]

Блокировка портов пропала после работы ComboFix, но меня все еще смущают запущенные процессы, тот же svchost, в момент заражения их было 8, после чистки стало 6, но на моей памяти их было всегда не больше 5ти и еще кое какие процессы меня смущают:
HPZipm12.exe
lsass.exe
Mctray -возможно это от макафи
naPrdMgr
NetworkLicenseServer.exe
По поводу программ с интернета, в последнее время(3-5 дней) ничего не качал, мне кажеться если это повторное зарожение, то возможно оно могло придти с флешки…

[Admin]

Это все нормальные программы.

HPZipm12.exe — модуль драйвера от принтера
lsass.exe — системный процесс WIndows
Mctray — возможно это от макафи — да, это так
naPrdMgr — компонент макафи
NetworkLicenseServer.exe — служба ABBYY FineReader

Так что выглядит всё нормально.

Попробуйте проверить свой компьютер используя Kaspersky Lab онлайн сканер.
Когда модуль сканера загрузиться, откройте меню настроек (Settings) и выберите расширенную базу (Extended).
И ещё, после сканирования, вам будет предоставлена возможность записать лог файл, пожалуйста запишите его и вставьте в своё следующее сообщение.

[Автор]

Сообщения