Это вирус?..

[Leremur]

Здраствуйте. Где-то после часа нормальной работы пропадает звук… Например фильм досмотреть до конца можно, но есле попытатся перезапустить плейр, то выбивает эта ошибка Антивирус нечего не видит. Кодаки и плейр я ставил самые различные. Не хочетася ставить винду заново 🙁
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:23:46, on 13.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C:WINDOWSRTHDCPL.EXE
C:Program FilesDrWebspiderml.exe
C:Program FilesDrWebDRWEBSCD.EXE
C:PROGRA~1DrWebspiderui.exe
C:Program FilesWinampWinampa.exe
C:Program FilesDownload Masterdmaster.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32nvsvc32.exe
C:PROGRA~1DrWebspidernt.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.com/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: DM Bar — {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — C:Program FilesDownload Masterdmbar.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [DrWebScheduler] «C:Program FilesDrWebDRWEBSCD.EXE»
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKLM..Run: [WinampAgent] «C:Program FilesWinampWinampa.exe»
O4 — HKLM..Run: [UserFaultCheck] %systemroot%system32dumprep 0 -u
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SpIDer Guard for Windows (SPIDERNT) — Doctor Web, Ltd. — C:PROGRA~1DrWebspidernt.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 5178 bytes

Спасибо…

[Pili]

Здравствуйте Leremur. Добро пожаловать на форум.
Попробуйте установить обновление KB958644

[Leremur]

Здраствуйте, Pili.
Да пробывал я… Был sp3- тоже самое. К сожелению винда пиратская и после обновлений в углу висит надпись. Что-то вроде: Возможно ваша винда поддельная и тд. И я делал последние обновления. Нечего не помогло 🙁
Раньше такого не было. Да и у моих друзей она отлично работает и sp3 и эта sp2. Я просто при переустановки винды, не трогал d и е диски. Подозреваю, что проблема в них(где-то там вирус наверно 😯 ). Сейчас не хочется все форматировать. Буду искать решения.

---

С помощью родимого гугла нашел тему http://forum.kaspersky.com/index.php?s=f984b3e72a8ad9561f69bd616fbfe499&showtopic=90928&st=0&p=798218&#entry798218 проблема очень похожа. Воспользывался утилитой(что указана в конце почти). 1.5 час прошло проблем пока нету… Возможно я полный дурак? Так как осваиваю все методом тыка. Прошу прощения.

Буду надеятся, что зараза прекратится.

[Pili]

Leremur, обновление по ссылке выше у вас уже установлено?
Ок, тогда будем делать логи и поищем зловреды, но скорее всего проблема связана с вашей версией ОС, драйверами или оборудованием.
1. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
— скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
2. Скачайте HijackThis и распакуйте архив в отдельную папку.
Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку «Do a system scan and save a logfile», откроется лог файл, скопируйте (Ctrl+A, Ctrlv+C) текст из лога и вставьте (Ctrl+V) в следующее сообщение.
3. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) — how-to-use-combofix и здесь — скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) — для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
— Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
— Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix — how-to-use-combofix (на англ.яз.) и здесь
4. Скачайте OTViewIt сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrlv+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:OTViewIt.txt и C:Extras.txt и прикрепите к сообщению.

[Leremur]

Вы читали мой пост выше? http://www.firewallleaktester.com/wwdc.htm это средство мне помогло. Токо вот человек на тос форуму писал, что все должно быть зеленым, но у меня один показатель остался желтым. В начале почти все были красными. Проблема ушла. Прокоментируйте пожалуйста, что произошло.

Я сечас зделаю логи, как вы просили…

[Leremur]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:49, on 14.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C:WINDOWSRTHDCPL.EXE
C:Program FilesDrWebspiderml.exe
C:Program FilesDrWebDRWEBSCD.EXE
C:PROGRA~1DrWebspiderui.exe
C:Program FilesWinampWinampa.exe
C:Program FilesDownload Masterdmaster.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32nvsvc32.exe
C:PROGRA~1DrWebspidernt.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.com/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: DM Bar — {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} — C:Program FilesDownload Masterdmbar.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [DrWebScheduler] «C:Program FilesDrWebDRWEBSCD.EXE»
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKLM..Run: [WinampAgent] «C:Program FilesWinampWinampa.exe»
O4 — HKLM..Run: [UserFaultCheck] %systemroot%system32dumprep 0 -u
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SpIDer Guard for Windows (SPIDERNT) — Doctor Web, Ltd. — C:PROGRA~1DrWebspidernt.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 5179 bytes

[Leremur]

ComboFix 08-12-12.02 — SAILOR 2008-12-14 14:06:21.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2046.1573 [GMT 3:00]
Running from: c:downloadscombofixComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem32ff_vfw.dll
c:windowssystem32xvidvfw.dll

.
((((((((((((((((((((((((( Files Created from 2008-11-14 to 2008-12-14 )))))))))))))))))))))))))))))))
.

2008-12-14 07:27 . 2008-12-14 07:27

d

---

c:program filesTrend Micro
2008-12-12 13:32 . 2008-12-12 13:32 d

---

c:program filesSpybot — Search & Destroy
2008-12-12 12:33 . 2008-12-12 12:33 d

---

c:program filescs-volia.net
2008-12-12 12:10 . 2008-12-12 12:10 d

---

c:program filesDownload Master
2008-12-12 12:05 . 2008-12-12 12:05 d

---

c:program filesK-Lite Codec Pack
2008-12-12 12:05 . 2007-09-28 18:07 3,596,288 —a

---

c:windowssystem32qt-dx331.dll
2008-12-12 12:05 . 2007-07-25 15:24 1,559,040 —a

---

c:windowssystem32xvidcore.dll
2008-12-12 12:05 . 2007-09-28 18:05 739,840 —a

---

c:windowssystem32divx.dll
2008-12-12 12:05 . 2004-01-12 00:00 348,160 —a

---

c:windowssystem32msvcr71.dll
2008-12-12 12:05 . 2004-01-25 18:18 217,088 —a

---

c:windowssystem32yv12vfw.dll
2008-12-12 12:05 . 2007-09-04 18:56 164,352 —a

---

c:windowssystem32unrar.dll
2008-12-12 12:05 . 2007-09-28 18:05 81,920 —a

---

c:windowssystem32dpl100.dll
2008-12-12 12:05 . 2007-07-10 18:10 547 —a

---

c:windowssystem32ff_vfw.dll.manifest
2008-12-12 12:04 . 2008-12-13 21:21 1,065 —a

---

c:windowswinamp.ini
2008-12-12 11:32 . 2008-12-12 11:32 77,824 —a—-t- c:windowssystem32DRWEBSP.DLL
2008-12-12 11:18 . 2008-12-12 11:18 d

---

c:windowssystem32Lang
2008-12-12 11:13 . 2008-12-12 11:13 d—-c— c:windowssystem32DRVSTORE
2008-12-12 11:13 . 2006-07-01 23:27 43,520 —a

---

c:windowssystem32driversAmdK8.sys
2008-12-12 11:12 . 2008-12-12 11:12 d

---

c:documents and settingsSAILORApplication DataInstallShield
2008-12-12 11:11 . 2008-12-12 11:16 d

---

c:program filesRealtek
2008-12-12 11:11 . 2006-08-15 08:09 83,200 -ra

---

c:windowssystem32driversRtenicxp.sys
2008-12-12 11:11 . 2004-08-13 21:56 5,810 -ra

---

c:windowssystem32driversASACPI.sys
2008-12-12 11:10 . 2007-08-01 06:39 12,536 —a

---

c:windowssystem32driversASUSHWIO.SYS
2008-12-12 11:05 . 2008-12-12 11:06 d

---

c:windowsNV11641120.TMP
2008-12-12 11:05 . 2007-05-10 18:39 356,352 —a

---

c:windowssystem32NVUNINST.EXE
2008-12-12 11:05 . 2007-05-11 01:03 356,352 —a

---

c:windowssystem32nvudisp.exe
2008-12-12 11:00 . 2008-12-12 11:00 d

---

c:windowsNV192624.TMP
2008-12-12 07:33 . 2008-12-12 10:59 d

---

c:program filesK-Lite Codec Pack(2)
2008-12-12 07:33 . 2006-09-24 17:11 389,120 —a

---

c:windowssystem32lameACM.acm
2008-12-12 07:33 . 2007-09-21 03:52 118,784 —a

---

c:windowssystem32ac3acm.acm
2008-12-12 07:33 . 2007-10-03 17:03 414 —a

---

c:windowssystem32lame_acm.xml
2008-12-12 02:44 . 2008-12-12 02:44 d

---

c:documents and settingsSAILORApplication DataMedia Player Classic
2008-12-12 02:37 . 2008-12-12 11:00 d

---

c:documents and settingsSAILORApplication DataWinamp
2008-12-12 02:12 . 2008-12-14 07:27 d

---

c:documents and settingsSAILORApplication DataDownload Master
2008-12-12 01:28 . 2008-12-12 01:56 d

---

c:documents and settingsSAILORDoctorWeb

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 10:32

---

d

---

w c:program filesDrWeb
2008-12-12 10:41

---

d

---

w c:documents and settingsAll UsersApplication DataSpybot — Search & Destroy
2008-12-12 09:12

---

d

---

w c:program files7-Zip
2008-12-12 09:04

---

d

---

w c:program filesWinamp
2008-12-12 08:16 315,392 —-a-w c:windowsHideWin.exe
2008-12-12 08:00

---

d

---

w c:program filesPocketRAR
2008-12-12 08:00

---

d

---

w c:program filesCommon FilesInstallShield
2008-12-12 08:00

---

d

---

w c:documents and settingsAll UsersApplication DataYahoo! Companion
2008-12-11 22:28

---

d—h—w c:program filesInstallShield Installation Information
2008-12-11 21:54

---

d

---

w c:program filesAMD
2008-12-11 21:39

---

d

---

w c:program filesmicrosoft frontpage
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-11-18 3297280]
«SpybotSD TeaTimer»=»c:program filesSpybot — Search & DestroyTeaTimer.exe» [2008-07-07 2156368]
«ctfmon.exe»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«UserFaultCheck»=»c:windowssystem32dumprep 0 -u» [X]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-05-11 8429568]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2007-05-11 81920]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2008-06-10 501080]
«DrWebScheduler»=»c:program filesDrWebDRWEBSCD.EXE» [2008-05-05 283888]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2008-10-23 197896]
«WinampAgent»=»c:program filesWinampWinampa.exe» [2001-10-02 10752]
«nwiz»=»nwiz.exe» [2007-05-11 c:windowssystem32nwiz.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2007-04-12 c:windowsRTHDCPL.exe]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=

PP2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DrWebspidernt.exe [2008-12-12 197896]
R2 SPIDER;SpIDer Guard File System Monitor;??c:progra~1DrWebspider.sys [2008-12-12 268040]

*Newly Created Service* — PROCEXP90
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://google.com/
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe —
LSP: c:windowssystem32DRWEBSP.DLL
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-14 14:06:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(764)
c:windowssystem32DRWEBSP.DLL
.
Completion time: 2008-12-14 14:07:08
ComboFix-quarantined-files.txt 2008-12-14 11:07:03

Pre-Run: 46 282 792 960 байт свободно
Post-Run: 46,286,442,496 байт свободно

119

Сейчас все работает вроде в порядке. Заразы больше нет? Меня поражает, что ее не видел ни веб ни каспер. Но теперь я вздохнул спокойно 🙂 Прокоментируйте мои действия и не судите строго. Спасибо.

[Leremur]

Ладно, судите строго. Токо прокоментируйте… 😕

[Pili]

Логи чистые. Насчет NetBios, с помощью встроенных средств windows закрыть порты 137-139 вы не сможете, но вы можете закрыть доступ извне с помощью встроенного брандмауэра windows или стороннего файервола и более обезопасить систему, выполнив следующее
в настройках сетевых подключений удалите или снимите галочку (если не используете) Клиент для сетей Microsoft, Служба доступа к файлам и принтерам сетей Microsoft, NWLink IPX/SPX/NetBIOS – совместимый транспортный протокол, во вкладке Протокол Интернета (TCP/IP) – Дополнительно – WINS – отключите NetBios через TCP/IP , уберите галочку с «Включить просмотр LMHOSTS»
Отключите службы
Обозреватель компьютеров
Модуль поддержки NetBios через TCP/IP
TCP/IP NetBIOS Helper

[Автор]

Сообщения