- This topic has 8 ответов, 2 участника, and was last updated 16 years, 2 months назад by
.
-
Сообщения
-
Здраствуйте, буду рад принять еще раз от вас помощь 🙂
Ситуация такая: загрузка винды очень затяжная(долго стоит на приветствии), после появления рабочего стола и началом появления значков и ярлыков появляютсяочень быстро несколько окон командных строк(я имею ввиду cmd.exe) в одной из шапок этих окон можно успеть заметить что в конце написано spool.exe
Иногда антивирус(McAfee) сразу после своей загрузки убивает 2 вируса или трояна(в C:WINDOWSsystem32ftpdll.dll; и где то в C:Documents and Settings с таким же названием. Если же при загрузке он ни кого не поймал, и пустить полное сканирование, то найдется 3 таких, 1 в C:WINDOWSsystem32ftpdll.dll и сразу же его убивает, два дгугих в где то в C:Documents and Settings в разных местах, но их не трогает без команды…И при каждой новой загрузке винды они снова на прежних местах…
Вот лог файл от HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:16, on 10.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
C:Program FilesDU MeterDUMeterSvc.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGmdm.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:WINDOWSVM_STI.EXE
C:Program FilesCommon FilesAheadlibNMBgMonitor.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesInterVideoCommonBinWinCinemaMgr.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesDU MeterDUMeter.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe
C:Program FilesOperaOpera.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — {83821C2B-32A8-4DD7-B6D4-44309A78E668} — C:Program FilesMail.RuAgentMradllnewmrasearch.dll
R3 — URLSearchHook: Спутник@Mail.Ru — {09900DE8-1DCA-443F-9243-26FF581438AF} — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: Solid Converter PDF — {259F616C-A300-44F5-B04A-ED001A26C85C} — C:Program FilesSolidDocumentsSolidConverterPDFSCPDFExploreExtPDF.dll
O2 — BHO: scriptproxy — {7DB2D5A0-7241-4E79-B68D-6309F01C5231} — C:Program FilesMcAfeeVirusScan EnterpriseScriptcl.dll
O2 — BHO: Спутник@Mail.Ru — {8984B388-A5BB-4DF7-B274-77B879E179DB} — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL
O3 — Toolbar: Спутник@Mail.Ru — {09900DE8-1DCA-443F-9243-26FF581438AF} — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL
O3 — Toolbar: Solid Converter PDF — {259F616C-A300-44F5-B04A-ED001A26C85C} — C:Program FilesSolidDocumentsSolidConverterPDFSCPDFExploreExtPDF.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O4 — HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 — HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 — HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 — HKLM..Run: [SkyTel] SkyTel.EXE
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» /StartedFromRunKey
O4 — HKLM..Run: [SSBkgdUpdate] «C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» -Embedding -boot
O4 — HKLM..Run: [OpwareSE4] «C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe»
O4 — HKLM..Run: [MAgent] C:Program FilesMail.RuAgentMAgent.exe -LM
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [BigDogPath] C:WINDOWSVM_STI.EXE D-Link DSB-C320
O4 — HKLM..Run: [ntuser] C:WINDOWSsystem32driversctfmon.exe
O4 — HKLM..Run: [autoload] C:Documents and SettingsИнженер студииLocal SettingsApplication Dataspool.exe
O4 — HKCU..Run: [DU Meter] C:Program FilesDU MeterDUMeter.exe
O4 — HKCU..Run: [Punto Switcher] C:Program FilesPunto Switcherps.exe
O4 — HKCU..Run: [Wallpaper Changer] C:Program FilesVSoftWallpaper ChangerWC.exe
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesAheadlibNMBgMonitor.exe»
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [ntuser] C:WINDOWSsystem32driversctfmon.exe
O4 — HKCU..Run: [autoload] C:Documents and SettingsИнженер студииLocal SettingsApplication Dataspool.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: InterVideo WinCinema Manager.lnk = C:Program FilesInterVideoCommonBinWinCinemaMgr.exe
O4 — Global Startup: Ускоренный запуск Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O8 — Extra context menu item: Поиск@Mail.Ru — res://C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/SEARCH.HTM
O8 — Extra context menu item: Словари@Mail.Ru — res://C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/TRANSLATE.HTM
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: (no name) — SolidConverterPDF — (no file) (HKCU)
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) — ABBYY (BIT Software) — C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
O23 — Service: DU Meter Service (DUMeterSvc) — Hagel Technologies Ltd — C:Program FilesDU MeterDUMeterSvc.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Планировщик заданий (Schedule) — Unknown owner — C:WINDOWSsystem32driversctfmon.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 10053 bytesПрощу прощения если буду отвечать долго в этой теме, так как это рабочий компьютер, и бываю я за ним 1 раз за 3-4 дня
Здравствуйте, рад оказать помощь 😉
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочками (слева) следующие строки:O4 - HKLM..Run: [ntuser] C:WINDOWSsystem32driversctfmon.exe
O4 - HKLM..Run: [autoload] C:Documents and SettingsИнженер студииLocal SettingsApplication Dataspool.exe
O4 - HKCU..Run: [ntuser] C:WINDOWSsystem32driversctfmon.exe
O4 - HKCU..Run: [autoload] C:Documents and SettingsИнженер студииLocal SettingsApplication Dataspool.exeКликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Вот лог файл ComboFix:
ComboFix 08-09-05.10 — Инженер студии 2008-09-14 10:58:58.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.659 [GMT 4:00]
Running from: C:Documents and SettingsИнженер студииРабочий столComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Documents and SettingsLocalServiceftpdll.dll
C:WINDOWSsystem32driversctfmon.exe.
((((((((((((((((((((((((( Files Created from 2008-08-14 to 2008-09-14 )))))))))))))))))))))))))))))))
.2008-09-14 10:25 . 2008-09-14 10:36
d
C:Program FilesThe Sims
2008-09-14 10:22 . 2008-09-14 10:22d
C:Documents and SettingsИнженер студииApplication DataDAEMON Tools Pro
2008-09-14 10:15 . 2008-09-14 10:15 685,816 —a
C:WINDOWSsystem32driverssptd.sys
2008-09-14 10:09 . 2008-09-14 10:14d
C:The.Sims.Vacation.2002.PC
2008-09-10 20:50 . 2008-09-10 20:50d
C:Program FilesTrend Micro
2008-09-09 14:52 . 2008-09-09 14:52d
C:Program FilesMSXML 6.0
2008-09-05 12:45 . 2004-08-17 16:04 159,232 —a
C:WINDOWSsystem32ptpusd.dll
2008-09-05 12:45 . 2001-10-19 21:06 5,632 —a
C:WINDOWSsystem32ptpusb.dll
2008-09-02 10:40 . 2008-09-02 10:40d
C:WINDOWSsystem323Planesoft
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program FilesEarth 3D Screensaver
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program Files3Planesoft Screensaver Manager
2008-09-02 10:40 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-02 10:40 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-02 10:40 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-02 10:40 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-08-28 13:03 . 2008-08-28 13:03d
C:Documents and SettingsИнженер студииApplication DataPRMT
2008-08-28 12:30 . 2008-08-28 12:30d
C:WINDOWSspeech
2008-08-28 12:27 . 2008-09-12 10:22d
C:WINDOWSLhsp
2008-08-28 12:27 . 2008-08-28 12:28d
C:Program FilesPRMT8
2008-08-28 12:27 . 2008-08-28 12:27d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-28 12:24 . 2008-08-28 12:24d
C:Program FilesMSBuild
2008-08-28 12:20 . 2008-08-28 12:20d
C:WINDOWSsystem32XPSViewer
2008-08-28 12:19 . 2008-08-28 12:19d
C:Program FilesReference Assemblies
2008-08-28 12:18 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-27 17:54 . 2008-08-27 17:55d
C:Program FilesOntrack
2008-08-19 10:51 . 2008-08-19 10:51d
C:Documents and SettingsИнженер студииApplication DataReallusion
2008-08-19 10:39 . 2008-08-19 10:39 75 -r-hs—- C:WINDOWSCT5PRET.BIN
2008-08-19 10:38 . 2008-08-19 10:38d
C:Program FilesReallusion
2008-08-19 10:37 . 2008-08-19 10:37d
C:Documents and SettingsИнженер студииApplication DataInstallShield
2008-08-15 20:42 . 2008-08-15 20:42d
C:Documents and SettingsАдминистраторApplication DataMedia Player Classic.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:54
d
w C:Program FilesBeeOnLine-Express 2.0
2008-08-28 10:49
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-28 09:04
d
w C:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-08-27 13:55
d—h—w C:Program FilesInstallShield Installation Information
2008-08-25 07:13
d
w C:Documents and SettingsИнженер студииApplication DataSkype
2008-08-25 07:12
d
w C:Documents and SettingsИнженер студииApplication DataskypePM
2008-08-18 14:04
d
w C:Program FilesOpera
2008-08-18 09:45
d
w C:Program FilesQIP
2008-08-13 14:34
d
w C:Program FilesDU Meter
2008-08-12 07:42
d
w C:Program FilesABBYY FineReader 9.0
2008-07-18 18:10 94,920 —-a-w C:WINDOWSsystem32cdm.dll
2008-07-18 18:10 53,448 —-a-w C:WINDOWSsystem32wuauclt.exe
2008-07-18 18:10 45,768 —-a-w C:WINDOWSsystem32wups2.dll
2008-07-18 18:10 36,552 —-a-w C:WINDOWSsystem32wups.dll
2008-07-18 18:09 563,912 —-a-w C:WINDOWSsystem32wuapi.dll
2008-07-18 18:09 325,832 —-a-w C:WINDOWSsystem32wucltui.dll
2008-07-18 18:09 205,000 —-a-w C:WINDOWSsystem32wuweb.dll
2008-07-18 18:09 1,811,656 —-a-w C:WINDOWSsystem32wuaueng.dll
2008-07-07 20:32 253,952 —-a-w C:WINDOWSsystem32es.dll
2008-06-24 16:24 74,240 —-a-w C:WINDOWSsystem32mscms.dll
2008-06-23 16:42 826,368 —-a-w C:WINDOWSsystem32wininet.dll
2008-06-20 17:42 247,296 —-a-w C:WINDOWSsystem32mswsock.dll
2008-03-12 10:32 32 —-a-w C:Documents and SettingsAll UsersApplication Dataezsid.dat
2000-11-26 13:32 165,376 —-a-r C:Documents and SettingsИнженер студииApplication Datagamedel.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«DU Meter»=»C:Program FilesDU MeterDUMeter.exe» [2008-04-16 2582288]
«Punto Switcher»=»C:Program FilesPunto Switcherps.exe» [2003-11-12 207872]
«Wallpaper Changer»=»C:Program FilesVSoftWallpaper ChangerWC.exe» [2004-03-04 194048]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»C:Program FilesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2006-03-02 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»C:WINDOWSsystem32igfxtray.exe» [2006-10-06 98304]
«HotKeysCmds»=»C:WINDOWSsystem32hkcmd.exe» [2006-10-06 114688]
«Persistence»=»C:WINDOWSsystem32igfxpers.exe» [2006-10-06 94208]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-30 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«SSBkgdUpdate»=»C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» [2003-09-30 155648]
«OpwareSE4″=»C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe» [2006-03-21 69632]
«MAgent»=»C:Program FilesMail.RuAgentMAgent.exe» [2008-07-15 3110392]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«BigDogPath»=»C:WINDOWSVM_STI.EXE» [2004-06-09 40960]
«SkyTel»=»SkyTel.EXE» [2006-05-16 C:WINDOWSSkyTel.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2006-09-12 C:WINDOWSRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2006-03-02 15360]C:Documents and SettingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
InterVideo WinCinema Manager.lnk — C:Program FilesInterVideoCommonBinWinCinemaMgr.exe [2008-03-12 237568]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe [2005-09-24 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\InterVideo\DVD6\WinDVD.exe»=
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R2 DUMeterSvc;DU Meter Service;C:Program FilesDU MeterDUMeterSvc.exe [2007-10-15 1382672]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{922324fe-f115-11dc-bade-0019214f8e58}]
ShellAutoRuncommand — F:alhmfg.exe
ShellexploreCommand — F:alhmfg.exe
ShellopenCommand — F:alhmfg.exe*Newly Created Service* — PROCEXP90
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O8 -: Поиск@Mail.Ru — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/SEARCH.HTM
O8 -: Словари@Mail.Ru — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/TRANSLATE.HTM
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 11:01:15
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2008-09-14 11:02:36
ComboFix-quarantined-files.txt 2008-09-14 07:02:32Pre-Run: 10,184,572,928 байт свободно
Post-Run: 10,657,312,768 байт свободно159 — E O F — 2008-09-09 10:52:23
Вообщем, кажеться пробема решена, загрузка системы идет с нормальной скоростью, ни каких командных строк больше не вылезает при загрузки рабочего стола, вирусы больше не обнаружаются, я деинсталировал ComboFix. Если что то в лог файле все же еще не так, я оставил инсталятор на флешке.
Огромное спасибо, с этой проблемой жили уже давно и много что перепробывали, вы мне еще раз очень помогли 😎
Удачи вам в ваших делах!Судя по Combofix логу ваш компьютер очистился. Так же из лога создаётся впечатление, что заражение пришло с флэшки или другого внешнего носителя.
[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{922324fe-f115-11dc-bade-0019214f8e58}]
ShellAutoRuncommand - F:alhmfg.exe
ShellexploreCommand - F:alhmfg.exe
ShellopenCommand - F:alhmfg.exeCombofix отключит автозапуск со всех дисков, и уже вы будете больше защищены от autorun.inf троянов и вирусов. Прочитайте больше о них здесь и здесь.
Кроме этого нужно подчистить кусочек кода, что я привёл выше.
Откройте блокнот и вставьте в него следующий текст:Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{922324fe-f115-11dc-bade-0019214f8e58}]Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix.Combofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы будет создан новый лог, его и вставьте в свой следующий ответ.Вы привели 2 ссылки, 1я ссылка более эффективный способ удаления троянов и шпионов? а 2ю для быстрого выполнения?
скачал Flash_Disinfector, буду тестить.
скорее всего вы правы, и вирус пришел со съемного носителя, если я подключу все носители(флешки, жеские диски) и запущу ComboFix, это не опасно? и после запущу Flash_Disinfector, как вы на это смотрите?
Вот этот пункт: «создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков» 100% эффективен против данных троянов(т.е. только от autorun.inf)?Вот последний лог файл ComboFix с проведения последней процедуры:
ComboFix 08-09-05.10 — Инженер студии 2008-09-14 21:51:34.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.628 [GMT 4:00]
Running from: C:Documents and SettingsИнженер студииРабочий столComboFix.exe
Command switches used :: C:Documents and SettingsИнженер студииРабочий столCFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2008-08-14 to 2008-09-14 )))))))))))))))))))))))))))))))
.2008-09-14 10:25 . 2008-09-14 16:58
d
C:Program FilesThe Sims
2008-09-14 10:22 . 2008-09-14 10:22d
C:Documents and SettingsИнженер студииApplication DataDAEMON Tools Pro
2008-09-14 10:15 . 2008-09-14 10:15 685,816 —a
C:WINDOWSsystem32driverssptd.sys
2008-09-10 20:50 . 2008-09-10 20:50d
C:Program FilesTrend Micro
2008-09-09 14:52 . 2008-09-09 14:52d
C:Program FilesMSXML 6.0
2008-09-05 12:45 . 2004-08-17 16:04 159,232 —a
C:WINDOWSsystem32ptpusd.dll
2008-09-05 12:45 . 2001-10-19 21:06 5,632 —a
C:WINDOWSsystem32ptpusb.dll
2008-09-02 10:40 . 2008-09-02 10:40d
C:WINDOWSsystem323Planesoft
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program FilesEarth 3D Screensaver
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program Files3Planesoft Screensaver Manager
2008-09-02 10:40 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-02 10:40 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-02 10:40 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-02 10:40 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-08-28 13:03 . 2008-08-28 13:03d
C:Documents and SettingsИнженер студииApplication DataPRMT
2008-08-28 12:30 . 2008-08-28 12:30d
C:WINDOWSspeech
2008-08-28 12:27 . 2008-09-12 10:22d
C:WINDOWSLhsp
2008-08-28 12:27 . 2008-08-28 12:28d
C:Program FilesPRMT8
2008-08-28 12:27 . 2008-08-28 12:27d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-28 12:24 . 2008-08-28 12:24d
C:Program FilesMSBuild
2008-08-28 12:20 . 2008-08-28 12:20d
C:WINDOWSsystem32XPSViewer
2008-08-28 12:19 . 2008-08-28 12:19d
C:Program FilesReference Assemblies
2008-08-28 12:18 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-27 17:54 . 2008-08-27 17:55d
C:Program FilesOntrack
2008-08-19 10:51 . 2008-08-19 10:51d
C:Documents and SettingsИнженер студииApplication DataReallusion
2008-08-19 10:39 . 2008-08-19 10:39 75 -r-hs—- C:WINDOWSCT5PRET.BIN
2008-08-19 10:38 . 2008-08-19 10:38d
C:Program FilesReallusion
2008-08-19 10:37 . 2008-08-19 10:37d
C:Documents and SettingsИнженер студииApplication DataInstallShield
2008-08-15 20:42 . 2008-08-15 20:42d
C:Documents and SettingsАдминистраторApplication DataMedia Player Classic.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:54
d
w C:Program FilesBeeOnLine-Express 2.0
2008-08-28 10:49
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-28 09:04
d
w C:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-08-27 13:55
d—h—w C:Program FilesInstallShield Installation Information
2008-08-25 07:13
d
w C:Documents and SettingsИнженер студииApplication DataSkype
2008-08-25 07:12
d
w C:Documents and SettingsИнженер студииApplication DataskypePM
2008-08-18 14:04
d
w C:Program FilesOpera
2008-08-18 09:45
d
w C:Program FilesQIP
2008-08-13 14:34
d
w C:Program FilesDU Meter
2008-08-12 07:42
d
w C:Program FilesABBYY FineReader 9.0
2008-07-18 18:10 94,920 —-a-w C:WINDOWSsystem32cdm.dll
2008-07-18 18:10 53,448 —-a-w C:WINDOWSsystem32wuauclt.exe
2008-07-18 18:10 45,768 —-a-w C:WINDOWSsystem32wups2.dll
2008-07-18 18:10 36,552 —-a-w C:WINDOWSsystem32wups.dll
2008-07-18 18:09 563,912 —-a-w C:WINDOWSsystem32wuapi.dll
2008-07-18 18:09 325,832 —-a-w C:WINDOWSsystem32wucltui.dll
2008-07-18 18:09 205,000 —-a-w C:WINDOWSsystem32wuweb.dll
2008-07-18 18:09 1,811,656 —-a-w C:WINDOWSsystem32wuaueng.dll
2008-07-07 20:32 253,952 —-a-w C:WINDOWSsystem32es.dll
2008-06-24 16:24 74,240 —-a-w C:WINDOWSsystem32mscms.dll
2008-06-23 16:42 826,368 —-a-w C:WINDOWSsystem32wininet.dll
2008-06-20 17:42 247,296 —-a-w C:WINDOWSsystem32mswsock.dll
2008-03-12 10:32 32 —-a-w C:Documents and SettingsAll UsersApplication Dataezsid.dat
2000-11-26 13:32 165,376 —-a-r C:Documents and SettingsИнженер студииApplication Datagamedel.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«DU Meter»=»C:Program FilesDU MeterDUMeter.exe» [2008-04-16 2582288]
«Punto Switcher»=»C:Program FilesPunto Switcherps.exe» [2003-11-12 207872]
«Wallpaper Changer»=»C:Program FilesVSoftWallpaper ChangerWC.exe» [2004-03-04 194048]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»C:Program FilesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2006-03-02 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»C:WINDOWSsystem32igfxtray.exe» [2006-10-06 98304]
«HotKeysCmds»=»C:WINDOWSsystem32hkcmd.exe» [2006-10-06 114688]
«Persistence»=»C:WINDOWSsystem32igfxpers.exe» [2006-10-06 94208]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-30 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«SSBkgdUpdate»=»C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» [2003-09-30 155648]
«OpwareSE4″=»C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe» [2006-03-21 69632]
«MAgent»=»C:Program FilesMail.RuAgentMAgent.exe» [2008-07-15 3110392]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«BigDogPath»=»C:WINDOWSVM_STI.EXE» [2004-06-09 40960]
«SkyTel»=»SkyTel.EXE» [2006-05-16 C:WINDOWSSkyTel.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2006-09-12 C:WINDOWSRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2006-03-02 15360]C:Documents and SettingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
InterVideo WinCinema Manager.lnk — C:Program FilesInterVideoCommonBinWinCinemaMgr.exe [2008-03-12 237568]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe [2005-09-24 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\InterVideo\DVD6\WinDVD.exe»=
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R2 DUMeterSvc;DU Meter Service;C:Program FilesDU MeterDUMeterSvc.exe [2007-10-15 1382672]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 21:53:24
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2008-09-14 21:55:33
ComboFix-quarantined-files.txt 2008-09-14 17:54:45
ComboFix2.txt 2008-09-14 07:02:37Pre-Run: 12,394,176,512 байт свободно
Post-Run: 12,382,535,680 байт свободно131 — E O F — 2008-09-09 10:52:23
если я подключу все носители(флешки, жеские диски) и запущу ComboFix, это не опасно? и после запущу Flash_Disinfector, как вы на это смотрите?
Смысла запускать Combofix нет, так как эта программа в общем то в своей работе основное внимание уделяет реестру и системным файлам.
А вот Flash_Disinfector, как раз то что надо, просканирует все подключенные диски, удалит на них найденные трояны и создаст скрытый и системный каталог autorun.inf.эффективен против данных троянов(т.е. только от autorun.inf)?
Всё правильно, защита построена на том, что когда троян будет пытаться создать файл autorun.inf, то он не сможет этого сделать, так как на диске уже существует файл с таким именем (скрытый и системный каталог).
Глянул новый Combofix лог, выглядит нормально.
Есть сейчас проблемы с работой компьютера и файлом ftpdll.dll ?Рад помочь.
Раз всё нормально с компьютером, то:
1. Удалите Combofix.
2. Рекомендую установить программу Spybot Search and Destroy для лучшей защиты компьютера от спайваре/троянов.
3. И ещё, создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса.Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы.
В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.Всего доброго 🙂
- Для ответа в этой теме необходимо авторизоваться.
