HEUR:Trojan.Win 32.Generic.+UDS:Dangerous Object Multi.Gener

[Alexandra]

Здравствуйте! Убедительная просьба помочь в решении возникшей проблемы: Антивирус «К» обнаружил вирус HEUR: Trojan. Win 32. Generic и неизвестную угрозу UDS: Danjerous Object Multi. Generic с высокой критичностью (C:/USERS/1/DOWNLOADS), находятся на карантине. Данные сканирования программы RSIT прилагаются:

info.txt logfile of random’s system information tool 1.08 2010-10-10 23:42:27

======Uninstall list======

8-in-Right—>C:Program FilesInstallShield Installation Information{CDB4B708-B3A5-42E5-AA46-68678D1313FF}setup.exe -runfromtemp -l0x0409
Adobe Acrobat 5.0—>C:WINDOWSISUNINST.EXE -f»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.isu» -c»C:Program FilesCommon FilesAdobeAcrobat 5.0NTUninst.dll»
Adobe Flash Player 10 Plugin—>C:Windowssystem32MacromedFlashFlashUtil10k_Plugin.exe -maintain plugin
Adobe Reader 8 — Russian—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A81200000003}
Apple Application Support—>MsiExec.exe /I{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}
Apple Mobile Device Support—>MsiExec.exe /I{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}
Apple Software Update—>MsiExec.exe /I{C41300B9-185D-475E-BFEC-39EF732F19B1}
Bluetooth Stack for Windows by Toshiba—>MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
Bonjour—>MsiExec.exe /X{0CB9668D-F979-4F31-B8B8-67FE90F929F8}
Conexant HD Audio—>C:Program FilesCONEXANTCNXT_AUDIO_HDAUIU32a.exe -U -IVM89Heza.INF
Dell Touchpad—>C:Program FilesDellTPadUninstap.exe ADDREMOVE
HDAUDIO Soft Data Fax Modem with SmartCP—>C:Program FilesCONEXANTCNXT_MODEM_HDA_HSFUIU32m.exe -U -IVM8HERzm.INF
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=»»
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=»»
iTunes—>MsiExec.exe /I{350FB27C-CF62-4EF3-AF9D-70FF313FE221}
Java(TM) 6 Update 20—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020F0}
Java(TM) 6 Update 21—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Kaspersky Internet Security 2010—>MsiExec.exe /I{9D8B0949-7C47-476F-9F06-F900D3B078EA}
Kaspersky Internet Security 2010—>MsiExec.exe /I{9D8B0949-7C47-476F-9F06-F900D3B078EA}
K-Lite Mega Codec Pack 5.0.0—>»C:Program FilesK-Lite Codec Packunins000.exe»
LoviVkontakte 2.33.0.0—>»C:Program FilesLoviVkontakteunins000.exe»
Microsoft .NET Framework 3.5 Language Pack SP1 — rus—>MsiExec.exe /I{2744791F-4E7C-32F5-AB40-AEC6A6C86DBF}
Microsoft .NET Framework 3.5 SP1—>c:WindowsMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 SP1setup.exe
Microsoft .NET Framework 3.5 SP1—>MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft WSE 3.0 Runtime—>MsiExec.exe /X{E3E71D07-CD27-46CB-8448-16D4FB29AA13}
Mozilla Firefox (3.6.10)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
MSXML 4.0 SP2 (KB927978)—>MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB954430)—>MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)—>MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
OpenOffice.org 3.2—>MsiExec.exe /I{B653DA92-AC6D-4034-9C40-12E9B8AC30D0}
PowerDVD—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime110Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}setup.exe» -l0x9 -cluninstall
PROMT Professional 9.0 ERRE Try-Buy—>MsiExec.exe /I{82A23752-BC8F-4585-B2BD-8F5A2C467F56}
QuickTime—>MsiExec.exe /I{EB900AF8-CC61-4E15-871B-98D1EA3E8025}
Roxio Activation Module—>MsiExec.exe /I{07159635-9DFE-4105-BFC0-2817DB540C68}
Roxio Creator Audio—>MsiExec.exe /I{83FFCFC7-88C6-41C6-8752-958A45325C82}
Roxio Creator BDAV Plugin—>MsiExec.exe /I{880AF49C-34F7-4285-A8AD-8F7A3D1C33DC}
Roxio Creator Copy—>MsiExec.exe /I{619CDD8A-14B6-43A1-AB6C-0F4EE48CE048}
Roxio Creator Data—>MsiExec.exe /I{0D397393-9B50-4C52-84D5-77E344289F87}
Roxio Creator DE—>MsiExec.exe /I{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}
Roxio Creator Tools—>MsiExec.exe /I{0394CDC8-FABD-4ED8-B104-03393876DFDF}
Roxio Express Labeler 3—>MsiExec.exe /I{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}
Roxio Update Manager—>MsiExec.exe /I{30465B6C-B53F-49A1-9EBA-A3F187AD502E}
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A8894F19-59C8-38D2-8A75-36C0CCE56A5B} /qb+ REBOOTPROMPT=»»
Sonic CinePlayer Decoder Pack—>MsiExec.exe /I{8D337F77-BE7F-41A2-A7CB-D5A63FD7049B}
The Sims 3—>»C:Program FilesInstallShield Installation Information{965D1C90-07D2-4749-B183-5FD47834131C}setup.exe» -runfromtemp -l0x0419 -removeonly
The Sims 3—>MsiExec.exe /I{965D1C90-07D2-4749-B183-5FD47834131C}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)—>C:Windowssystem32msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=»»
Windows Media Player Firefox Plugin—>MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Самоучитель Windows Vista—>E:uninstall.exe
Языковой пакет Microsoft .NET Framework 3.5 SP1 — RUS—>c:WindowsMicrosoft.NETFrameworkv3.5Microsoft .NET Framework 3.5 Language Pack SP1 — russetup.exe
Яндекс.Бар 5.0 для Internet Explorer—>MsiExec.exe /X{B1D8E65E-B8A2-48E4-90CF-34151C37EB45}

======Hosts File======

127.0.0.1 vkontakte.ru
127.0.0.1 http://www.vkontakte.ru
127.0.0.1 vk.com
127.0.0.1 http://www.vk.com

======Security center information======

AS: Windows Defender

======System event log======

Computer Name: 1-ПК
Event Code: 7036
Message: Служба «Kaspersky Internet Security» перешла в состояние Работает.
Record Number: 62469
Source Name: Service Control Manager
Time Written: 20100504175842.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 7036
Message: Служба «Windows Search» перешла в состояние Работает.
Record Number: 62468
Source Name: Service Control Manager
Time Written: 20100504175842.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 7036
Message: Служба «Служба загрузки изображений Windows (WIA)» перешла в состояние Работает.
Record Number: 62467
Source Name: Service Control Manager
Time Written: 20100504175842.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 7036
Message: Служба «Служба списка сетей» перешла в состояние Работает.
Record Number: 62466
Source Name: Service Control Manager
Time Written: 20100504175842.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 7036
Message: Служба «XAudioService» перешла в состояние Работает.
Record Number: 62465
Source Name: Service Control Manager
Time Written: 20100504175842.000000-000
Event Type: Сведения
User:

=====Application event log=====

Computer Name: 1-ПК
Event Code: 223
Message: WinMail (1320) WindowsMail0: Осуществляется запуск архивации файлов журнала (диапазон: C:Users1AppDataLocalMicrosoftWindows Mailedb00001.log — C:Users1AppDataLocalMicrosoftWindows Mailedb00001.log).
Record Number: 284
Source Name: ESENT
Time Written: 20100324125710.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 221
Message: WinMail (1320) WindowsMail0: Завершается архивация файла C:Users1AppDataLocalMicrosoftWindows MailWindowsMail.MSMessageStore.
Record Number: 283
Source Name: ESENT
Time Written: 20100324125710.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 220
Message: WinMail (1320) WindowsMail0: Начинается архивация файла C:Users1AppDataLocalMicrosoftWindows MailWindowsMail.MSMessageStore (размер: 2 Mb).
Record Number: 282
Source Name: ESENT
Time Written: 20100324125710.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 210
Message: WinMail (1320) WindowsMail0: Осуществляется запуск полной архивации.
Record Number: 281
Source Name: ESENT
Time Written: 20100324125710.000000-000
Event Type: Сведения
User:

Computer Name: 1-ПК
Event Code: 102
Message: WinMail (1320) WindowsMail0: Ядром СУБД (6.00.6001.0000) запущен новый экземпляр (0).
Record Number: 280
Source Name: ESENT
Time Written: 20100324125709.000000-000
Event Type: Сведения
User:

=====Security event log=====

Computer Name: 1-ПК
Event Code: 4672
Message: Новому сеансу входа назначены специальные привилегии.

Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7

Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
Record Number: 11819
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100502205423.917343-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 1-ПК
Event Code: 4624
Message: Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: 1-ПК$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7

Тип входа: 5

Новый вход:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x320
Имя процесса: C:WindowsSystem32services.exe

Сведения о сети:
Имя рабочей станции:
Сетевой адрес источника: —
Порт источника: —

Сведения о проверке подлинности:
Процесс входа: Advapi
Пакет проверки подлинности: Negotiate
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Record Number: 11818
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100502205423.917343-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 1-ПК
Event Code: 4648
Message: Выполнена попытка входа в систему с явным указанием учетных данных.

Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: 1-ПК$
Домен учетной записи: WORKGROUP
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Были использованы учетные данные следующей учетной записи:
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
GUID входа: {00000000-0000-0000-0000-000000000000}

Целевой сервер:
Имя целевого сервера: localhost
Дополнительные сведения: localhost

Сведения о процессе:
Идентификатор процесса: 0x320
Имя процесса: C:WindowsSystem32services.exe

Сведения о сети:
Сетевой адрес: —
Порт: —

Данное событие возникает, когда процесс пытается выполнить вход с учетной записью, явно указав ее учетные данные. Это обычно происходит при использовании конфигураций пакетного типа, например назначенных задач, или выполнении команды RUNAS.
Record Number: 11817
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100502205423.917343-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 1-ПК
Event Code: 4902
Message: Создана таблица политики аудита по пользователям.

Число элементов: 0
Идентификатор политики: 0x11259
Record Number: 11816
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100502205423.496141-000
Event Type: Аудит выполнен успешно
User:

Computer Name: 1-ПК
Event Code: 4624
Message: Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: S-1-0-0
Имя учетной записи: —
Домен учетной записи: —
Код входа: 0x0

Тип входа: 0

Новый вход:
ИД безопасности: S-1-5-18
Имя учетной записи: SYSTEM
Домен учетной записи: NT AUTHORITY
Код входа: 0x3e7
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x4
Имя процесса:

Сведения о сети:
Имя рабочей станции: —
Сетевой адрес источника: —
Порт источника: —

Сведения о проверке подлинности:
Процесс входа: —
Пакет проверки подлинности: —
Промежуточные службы: —
Имя пакета (только NTLM): —
Длина ключа: 0

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— Поле «Длина ключа» содержит длину созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Record Number: 11815
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20100502205423.199739-000
Event Type: Аудит выполнен успешно
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesCommon FilesRoxio SharedDLLShared;C:Program FilesCommon FilesRoxio Shared9.0DLLShared;%SYSTEMROOT%System32WindowsPowerShellv1.0;C:Program FilesQuickTimeQTSystem
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
«PROCESSOR_ARCHITECTURE»=x86
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP
«USERNAME»=SYSTEM
«windir»=%SystemRoot%
«PROCESSOR_LEVEL»=6
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 15 Stepping 13, GenuineIntel
«PROCESSOR_REVISION»=0f0d
«NUMBER_OF_PROCESSORS»=2
«TRACE_FORMAT_SEARCH_PATH»=\NTREL202.ntdev.corp.microsoft.com4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0TraceFormat
«DFSTRACINGON»=FALSE
«RoxioCentral»=C:Program FilesCommon FilesRoxio Shared9.0Roxio Central33
«PSModulePath»=%SystemRoot%system32WindowsPowerShellv1.0Modules
«asl.log»=Destination=file;OnFirstLog=command,environment,parent
«CLASSPATH»=.;C:Program FilesJavajre6libextQTJava.zip
«QTJAVA»=C:Program FilesJavajre6libextQTJava.zip

---

EOF

---

Logfile of random’s system information tool 1.08 (written by random/random)
Run by 1 at 2010-10-10 23:41:37
Microsoft® Windows Vista™ Home Basic Service Pack 2
System drive C: has 86 GB (63%) free of 138 GB
Total RAM: 2038 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:42:22, on 10.10.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18943)
Boot mode: Normal

Running processes:
C:Windowssystem32Dwm.exe
C:WindowsExplorer.EXE
C:Windowssystem32taskeng.exe
C:Program FilesWindows DefenderMSASCui.exe
C:Program FilesDellTPadApoint.exe
C:WindowsSystem32mobsync.exe
C:WindowsSystem32igfxtray.exe
C:WindowsSystem32hkcmd.exe
C:WindowsSystem32igfxpers.exe
C:Program FilesToshibaBluetooth Toshiba StackItSecMng.exe
C:Program FilesCyberLinkPowerDVD DXPDVDDXSrv.exe
C:Program FilesKaspersky LabKaspersky Internet Security 2010avp.exe
C:Program FilesLoviVkontaktelovivkontakte.exe
C:Program FilesCommon FilesJavaJava Updatejusched.exe
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesWindows Sidebarsidebar.exe
C:Program FilesOSCARK3GOscarEditor.exe
C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtMng.exe
C:Windowssystem32igfxsrvc.exe
C:Program FilesToshibaBluetooth Toshiba StackTosA2dp.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtHid.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtHsp.exe
C:Program FilesToshibaBluetooth Toshiba StackTosAVRC.exe
C:Program FilesToshibaBluetooth Toshiba StacktosOBEX.exe
C:Program FilesDellTPadApMsgFwd.exe
C:Program FilesDellTPadHidFind.exe
C:Program FilesDellTPadApntex.exe
C:Program FilesToshibaBluetooth Toshiba StackTosBtProc.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesKaspersky LabKaspersky Internet Security 2010klwtblfs.exe
C:Program FilesMozilla Firefoxplugin-container.exe
C:Users1DownloadsRSIT.exe
C:Program Filestrend micro1.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.dell.com
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/?clid=140504
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O1 — Hosts: ::1 localhost
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 — BHO: PROMT — {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} — C:Program FilesPRMT9PRMTIEprmtie.dll (file missing)
O2 — BHO: IEVkbdBHO — {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} — C:Program FilesKaspersky LabKaspersky Internet Security 2010ievkbd.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: link filter bho — {E33CF602-D945-461A-83F0-819F76A199F8} — C:Program FilesKaspersky LabKaspersky Internet Security 2010klwtbbho.dll
O3 — Toolbar: Яндекс.Бар — {91397D20-1446-11D4-8AF4-0040CA1127B6} — C:Program FilesYandexYandexBarIEyndbar.dll
O3 — Toolbar: Переводчик PROMT — {C7DDDD27-F303-42A5-B979-51559F7DC0F0} — C:Program FilesPRMT9PRMTIEprmtie.dll (file missing)
O4 — HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide
O4 — HKLM..Run: [Apoint] C:Program FilesDellTPadApoint.exe
O4 — HKLM..Run: [IgfxTray] C:Windowssystem32igfxtray.exe
O4 — HKLM..Run: [HotKeysCmds] C:Windowssystem32hkcmd.exe
O4 — HKLM..Run: [Persistence] C:Windowssystem32igfxpers.exe
O4 — HKLM..Run: [ITSecMng] %ProgramFiles%TOSHIBABluetooth Toshiba StackItSecMng.exe /START
O4 — HKLM..Run: [PDVDDXSrv] «C:Program FilesCyberLinkPowerDVD DXPDVDDXSrv.exe»
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Internet Security 2010avp.exe»
O4 — HKLM..Run: [Adobe Reader Speed Launcher] «C:Program FilesAdobeReader 8.0ReaderReader_sl.exe»
O4 — HKLM..Run: [LoviVkontakte] C:Program FilesLoviVkontaktelovivkontakte.exe
O4 — HKLM..Run: [SunJavaUpdateSched] «C:Program FilesCommon FilesJavaJava Updatejusched.exe»
O4 — HKLM..Run: [QuickTime Task] «C:Program FilesQuickTimeQTTask.exe» -atboottime
O4 — HKLM..Run: [iTunesHelper] «C:Program FilesiTunesiTunesHelper.exe»
O4 — HKCU..Run: [Sidebar] C:Program FilesWindows Sidebarsidebar.exe /autoRun
O4 — HKCU..Run: [OscarEditor] «C:Program FilesOSCARK3GOscarEditor.exe» Minimum
O4 — HKCU..Run: [ISUSPM] «C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe» -scheduler
O4 — HKUSS-1-5-19..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [Sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User ‘NETWORK SERVICE’)
O4 — Global Startup: Bluetooth Manager.lnk = ?
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 — Extra context menu item: Добавить в Анти-Баннер — C:Program FilesKaspersky LabKaspersky Internet Security 2010ie_banner_deny.htm
O9 — Extra button: &Виртуальная клавиатура — {4248FE82-7FCB-46AC-B270-339F08212110} — C:Program FilesKaspersky LabKaspersky Internet Security 2010klwtbbho.dll
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Проверка ссы&лок — {CCF151D8-D089-449F-A5A4-D9909053F20F} — C:Program FilesKaspersky LabKaspersky Internet Security 2010klwtbbho.dll
O12 — Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll,C:PROGRA~1KASPER~1KASPER~1kloehk.dll
O22 — SharedTaskScheduler: Component Categories cache daemon — {8C7461EF-2B13-11d2-BE35-3078302C2030} — C:Windowssystem32browseui.dll
O23 — Service: Apple Mobile Device — Apple Inc. — C:Program FilesCommon FilesAppleMobile Device SupportAppleMobileDeviceService.exe
O23 — Service: Kaspersky Internet Security (AVP) — Kaspersky Lab — C:Program FilesKaspersky LabKaspersky Internet Security 2010avp.exe
O23 — Service: Служба Bonjour (Bonjour Service) — Apple Inc. — C:Program FilesBonjourmDNSResponder.exe
O23 — Service: @dfsrres.dll,-101 (DFSR) — Корпорация Майкрософт — C:Windowssystem32DFSR.exe
O23 — Service: Сервис iPod (iPod Service) — Apple Inc. — C:Program FilesiPodbiniPodService.exe
O23 — Service: LoviVkontake Service (LoviVkontakteService) — Zeyfman Genady — C:Program FilesLoviVkontakteVkontakteService.exe
O23 — Service: stllssvr — MicroVision Development, Inc. — C:Program FilesCommon FilesSureThing Sharedstllssvr.exe
O23 — Service: TOSHIBA Bluetooth Service — TOSHIBA CORPORATION — C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe
O23 — Service: XAudioService — Conexant Systems, Inc. — C:Windowssystem32DRIVERSxaudio.exe

—
End of file — 7887 bytes

======Scheduled tasks folder======

C:WindowstasksUser_Feed_Synchronization-{310830F8-54FC-454F-819B-50919BEC07D8}.job

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{1F13CE11-4FAC-49A9-8155-D4F3F0F91A33}]
Promt IE Helper — C:Program FilesPRMT9PRMTIEprmtie.dll []

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class — C:Program FilesKaspersky LabKaspersky Internet Security 2010ievkbd.dll [2009-10-20 68112]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2010-08-04 41760]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E33CF602-D945-461A-83F0-819F76A199F8}]
FilterBHO Class — C:Program FilesKaspersky LabKaspersky Internet Security 2010klwtbbho.dll [2009-10-20 268816]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{91397D20-1446-11D4-8AF4-0040CA1127B6} — Яндекс.Бар — C:Program FilesYandexYandexBarIEyndbar.dll [2010-06-01 10336584]
{C7DDDD27-F303-42A5-B979-51559F7DC0F0} — Переводчик PROMT — C:Program FilesPRMT9PRMTIEprmtie.dll []

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=C:Program FilesWindows DefenderMSASCui.exe [2008-01-21 1008184]
«Apoint»=C:Program FilesDellTPadApoint.exe [2008-07-10 163840]
«IgfxTray»=C:Windowssystem32igfxtray.exe [2008-07-10 150040]
«HotKeysCmds»=C:Windowssystem32hkcmd.exe [2008-07-10 170520]
«Persistence»=C:Windowssystem32igfxpers.exe [2008-07-10 141848]
«ITSecMng»=C:Program FilesTOSHIBABluetooth Toshiba StackItSecMng.exe [2007-09-29 75136]
«PDVDDXSrv»=C:Program FilesCyberLinkPowerDVD DXPDVDDXSrv.exe [2008-02-26 128296]
«AVP»=C:Program FilesKaspersky LabKaspersky Internet Security 2010avp.exe [2010-08-18 340520]
«Adobe Reader Speed Launcher»=C:Program FilesAdobeReader 8.0ReaderReader_sl.exe [2008-01-11 39792]
«LoviVkontakte»=C:Program FilesLoviVkontaktelovivkontakte.exe [2009-12-26 739840]
«SunJavaUpdateSched»=C:Program FilesCommon FilesJavaJava Updatejusched.exe [2010-05-14 248552]
«QuickTime Task»=C:Program FilesQuickTimeQTTask.exe [2010-08-10 421888]
«iTunesHelper»=C:Program FilesiTunesiTunesHelper.exe [2010-09-01 421160]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Sidebar»=C:Program FilesWindows Sidebarsidebar.exe [2009-04-11 1233920]
«OscarEditor»=C:Program FilesOSCARK3GOscarEditor.exe [2009-06-16 3332608]
«ISUSPM»=C:Program FilesCommon FilesInstallShieldUpdateServiceISUSPM.exe [2006-09-11 218032]

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — C:Program FilesToshibaBluetooth Toshiba StackTosBtMng.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
«AppInit_DLLs»=»C:PROGRA~1KASPER~1KASPER~1mzvkbd3.dll,C:PROGRA~1KASPER~1KASPER~1kloehk.dll»

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyigfxcui]
C:Windowssystem32igfxdev.dll [2008-07-10 208896]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyklogon]
C:Windowssystem32klogon.dll [2009-10-20 219664]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWdf01000.sys]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfPf]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfRd]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfSvc]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWudfUsbccidDriver]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1
«EnableUIADesktopToggle»=0

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«BindDirectlyToPropertySetStorage»=0
«NoDriveTypeAutoRun»=60

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]

======File associations======

.js — edit — C:WindowsSystem32Notepad.exe %1
.js — open — C:WindowsSystem32WScript.exe «%1» %*

======List of files/folders created in the last 1 months======

2010-10-10 23:41:39 —-D—- C:Program Filestrend micro
2010-10-10 23:41:37 —-D—- C:rsit
2010-09-29 15:28:34 —-A—- C:Windowssystem32tzres.dll
2010-09-25 02:04:15 —-ASH—- C:hiberfil.sys
2010-09-16 09:38:32 —-A—- C:Windowssystem32usp10.dll
2010-09-16 09:38:27 —-A—- C:Windowssystem32spoolsv.exe
2010-09-16 09:38:25 —-A—- C:Windowssystem32MP4SDECD.DLL
2010-09-16 09:38:18 —-A—- C:Windowssystem32inetcomm.dll

======List of files/folders modified in the last 1 months======

2010-10-10 23:41:54 —-D—- C:WindowsPrefetch
2010-10-10 23:41:49 —-D—- C:WindowsTemp
2010-10-10 23:41:39 —-RD—- C:Program Files
2010-10-10 23:08:37 —-D—- C:ProgramDataKaspersky Lab
2010-10-10 01:33:55 —-SHD—- C:System Volume Information
2010-10-03 23:48:16 —-D—- C:WindowsMicrosoft.NET
2010-10-03 23:47:58 —-RSD—- C:Windowsassembly
2010-10-03 10:37:45 —-D—- C:Windowswinsxs
2010-10-03 10:37:26 —-SHD—- C:WindowsInstaller
2010-10-02 16:04:00 —-D—- C:Windowssystem32catroot2
2010-10-02 16:04:00 —-D—- C:Windowssystem32catroot
2010-09-30 15:44:50 —-D—- C:Windowsrescache
2010-09-30 15:26:22 —-D—- C:Windowssystem32ru-RU
2010-09-30 15:26:22 —-D—- C:WindowsSystem32
2010-09-30 15:25:07 —-D—- C:Program FilesInternet Explorer
2010-09-25 02:01:50 —-A—- C:Windowsntbtlog.txt
2010-09-19 23:52:36 —-D—- C:Windows
2010-09-17 03:10:33 —-A—- C:Windowssystem32mrt.exe
2010-09-17 03:10:18 —-D—- C:Program FilesWindows Mail
2010-09-16 18:44:00 —-D—- C:Program FilesMozilla Firefox

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 klbg;Kaspersky Lab Boot Guard Driver; C:Windowssystem32driversklbg.sys [2009-10-14 36880]
R0 PxHelp20;PxHelp20; C:WindowsSystem32DriversPxHelp20.sys [2007-07-26 43872]
R1 kl1;kl1; C:Windowssystem32DRIVERSkl1.sys [2009-09-01 128016]
R1 KLIF;Kaspersky Lab Driver; C:Windowssystem32DRIVERSklif.sys [2010-03-26 311312]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter; C:Windowssystem32DRIVERSklim6.sys [2009-11-03 21520]
R1 Tosrfcom;Bluetooth RFCOMM; C:WindowsSystem32Driverstosrfcom.sys [2008-07-15 64128]
R2 mdmxsdk;mdmxsdk; C:Windowssystem32DRIVERSmdmxsdk.sys [2008-07-10 12672]
R2 rimmptsk;rimmptsk; C:Windowssystem32DRIVERSrimmptsk.sys [2008-07-10 46592]
R2 XAudio;XAudio; C:Windowssystem32DRIVERSxaudio.sys [2008-07-10 8704]
R3 ApfiltrService;Alps Touch Pad Filter Driver for Windows 2000/XP/Vista; C:Windowssystem32DRIVERSApfiltr.sys [2008-07-10 164400]
R3 athr;Atheros Extensible Wireless LAN device driver; C:Windowssystem32DRIVERSathr.sys [2009-09-05 1183744]
R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service; C:Windowssystem32driversCHDRT32.sys [2008-07-10 221184]
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:Windowssystem32DRIVERSGEARAspiWDM.sys [2009-05-18 26600]
R3 HSF_DPV;HSF_DPV; C:Windowssystem32DRIVERSHSX_DPV.sys [2008-07-10 980992]
R3 HSXHWAZL;HSXHWAZL; C:Windowssystem32DRIVERSHSXHWAZL.sys [2008-07-10 208384]
R3 igfx;igfx; C:Windowssystem32DRIVERSigdkmd32.sys [2008-07-10 2354176]
R3 klmouflt;Kaspersky Lab KLMOUFLT; C:Windowssystem32DRIVERSklmouflt.sys [2009-10-02 19472]
R3 RTL8169;Realtek 8169 NT Driver; C:Windowssystem32DRIVERSRtlh86.sys [2010-03-04 261152]
R3 sdbus;sdbus; C:Windowssystem32DRIVERSsdbus.sys [2009-04-11 89088]
R3 tosporte;Bluetooth COM Port; C:Windowssystem32DRIVERStosporte.sys [2008-07-15 41472]
R3 tosrfbd;Bluetooth RFBUS; C:Windowssystem32DRIVERStosrfbd.sys [2008-07-15 131712]
R3 tosrfbnp;Bluetooth RFBNEP; C:WindowsSystem32Driverstosrfbnp.sys [2008-07-15 36608]
R3 Tosrfhid;Bluetooth RFHID; C:Windowssystem32DRIVERSTosrfhid.sys [2008-07-15 74112]
R3 tosrfnds;Bluetooth Personal Area Network; C:Windowssystem32DRIVERStosrfnds.sys [2008-07-15 18612]
R3 tosrfusb;Bluetooth USB Controller; C:Windowssystem32DRIVERStosrfusb.sys [2008-07-15 41856]
R3 winachsf;winachsf; C:Windowssystem32DRIVERSHSX_CNXT.sys [2008-07-10 661504]
R3 WpdUsb;WpdUsb; C:Windowssystem32DRIVERSwpdusb.sys [2009-10-01 40448]
R3 WUDFRd;WUDFRd; C:Windowssystem32DRIVERSWUDFRd.sys [2008-01-21 83328]
S3 drmkaud;Звуковой дешифратор DRM ядра системы; C:Windowssystem32driversdrmkaud.sys [2008-01-21 5632]
S3 e1express;Intel(R) PRO/1000 драйвер сетевого подключения PCI Express; C:Windowssystem32DRIVERSe1e6032.sys [2008-01-21 220672]
S3 MSKSSRV;Представитель служб потоков Microsoft; C:Windowssystem32driversMSKSSRV.sys [2008-01-21 8192]
S3 MSPCLOCK;Посредник синхронизации потоков Microsoft; C:Windowssystem32driversMSPCLOCK.sys [2008-01-21 5888]
S3 MSPQM;Представитель диспетчера качества потоков Microsoft; C:Windowssystem32driversMSPQM.sys [2008-01-21 5504]
S3 MSTEE;Преобразователь потоков Tee/Sink-to-Sink Microsoft; C:Windowssystem32driversMSTEE.sys [2008-01-21 6016]
S3 R300;R300; C:Windowssystem32DRIVERSatikmdag.sys [2006-11-02 2028032]
S4 ErrDev;Microsoft Hardware Error Device Driver; C:Windowssystem32driverserrdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR; C:Windowssystem32driversmegasr.sys [2008-01-21 386616]
S4 rimsptsk;rimsptsk; C:Windowssystem32driversrimsptsk.sys [2008-07-10 43008]
S4 rismxdp;Ricoh xD-Picture Card Driver; C:Windowssystem32driversrixdptsk.sys [2008-07-10 38400]
S4 toshidpt;Bluetooth HID Port; C:Windowssystem32driverstoshidpt.sys [2008-07-15 3712]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Apple Mobile Device;Apple Mobile Device; C:Program FilesCommon FilesAppleMobile Device SupportAppleMobileDeviceService.exe [2010-08-13 144672]
R2 AVP;Kaspersky Internet Security; C:Program FilesKaspersky LabKaspersky Internet Security 2010avp.exe [2010-08-18 340520]
R2 Bonjour Service;Служба Bonjour; C:Program FilesBonjourmDNSResponder.exe [2010-05-18 345376]
R2 LoviVkontakteService;LoviVkontake Service; C:Program FilesLoviVkontakteVkontakteService.exe [2009-10-15 477184]
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service; C:Program FilesToshibaBluetooth Toshiba StackTosBtSrv.exe [2007-09-29 128360]
R2 XAudioService;XAudioService; C:Windowssystem32DRIVERSxaudio.exe [2008-07-10 386560]
R3 iPod Service;Сервис iPod; C:Program FilesiPodbiniPodService.exe [2010-09-01 820008]
S3 FontCache;@%systemroot%system32FntCache.dll,-100; C:Windowssystem32svchost.exe [2008-01-21 21504]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
S3 stllssvr;stllssvr; C:Program FilesCommon FilesSureThing Sharedstllssvr.exe [2007-07-11 69632]

---

EOF

---

Заранее благодарна. Alexandra

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Логи выглядят нормально.
Сейчас как работает компьютер ? Антивирус находит что-либо при полном сканировании ?

[Alexandra]

Здравствуйте! Сделала полное сканирование антивирусом «К» — угроз не обнаружено, но из статуса антивируса HEUR и UDS не удаляются. Помимо этого в статусе обнаружила ещё 2 трояна с высокой критичностью с определением антивируса: «Заражён», которые также не удалить. Работа компьютера несколько замедлена, в частности медленно открываются окна и браузер. Подскажите дальнейшие действия. С благодарностью, Alexandra.

[Admin]

Проверим ещё одной программой.
Скачайте программу Combofix. Если вы уже скачивали эту программу, то удалите её и скачайте свежую копию.
Закройте все открытые окна и запустите эту программу.

После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[Alexandra]

Здравствуйте! Разрешите дополнить моё предыдущее сообщение: при полном сканировании антивирусом «К» я написала, что угроз не обнаружено по отчёту. Но в главном меню антивируса, в рамке «Проверено объектов/обнаружено угроз» — такие данные: вирус — 2, троянская программа — 4. В статусе антивируса HEUR и UDS из карантина не удаляются. Возможно ли удалить их в безопасном режиме? Данные сканирования программой Combofix прилагаются. Большое спасибо, Alexandra.

ComboFix 10-10-11.05 — 1 13.10.2010 2:19.1.2 — x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1251.7.1049.18.2038.1080 [GMT 4:00]
Running from: c:users1DownloadsComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:programdataMicrosoftNetworkDownloaderqmgr0.dat
c:programdataMicrosoftNetworkDownloaderqmgr1.dat
c:users1AppDataRoamingMicrosoftWindowsRecentComfy Cakes.ComfyCakesSave-ms.pif

---

BITS: Possible infected sites

---

hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-09-12 to 2010-10-12 )))))))))))))))))))))))))))))))
.

2010-10-12 11:14 . 2010-09-09 22:52 6084944 —-a-w- c:programdataMicrosoftWindows DefenderDefinition Updates{A68B7C05-E93E-4076-BF95-35F36DF19C4C}mpengine.dll
2010-10-10 19:41 . 2010-10-10 19:42

---

d

---

w- c:program filestrend micro
2010-10-10 19:41 . 2010-10-10 19:42

---

d

---

w- C:rsit
2010-09-29 11:28 . 2010-06-22 13:30 2048 —-a-w- c:windowssystem32tzres.dll
2010-09-29 11:28 . 2010-08-26 04:23 13312 —-a-w- c:program filesInternet Exploreriecompat.dll
2010-09-16 05:38 . 2010-04-16 16:46 502272 —-a-w- c:windowssystem32usp10.dll
2010-09-16 05:38 . 2010-08-17 14:11 128000 —-a-w- c:windowssystem32spoolsv.exe
2010-09-16 05:38 . 2010-04-05 17:02 317952 —-a-w- c:windowssystem32MP4SDECD.DLL
2010-09-16 05:38 . 2010-08-17 10:52 2409784 —-a-w- c:program filesWindows MailOESpamFilter.dat
2010-09-16 05:38 . 2010-05-27 20:08 739328 —-a-w- c:windowssystem32inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Sidebar»=»c:program filesWindows Sidebarsidebar.exe» [2009-04-11 1233920]
«OscarEditor»=»c:program filesOSCARK3GOscarEditor.exe» [2009-06-16 3332608]
«ISUSPM»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2006-09-11 218032]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=»c:program filesWindows DefenderMSASCui.exe» [2008-01-21 1008184]
«Apoint»=»c:program filesDellTPadApoint.exe» [2008-07-10 163840]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-07-10 150040]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-07-10 170520]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-07-10 141848]
«ITSecMng»=»c:program filesTOSHIBABluetooth Toshiba StackItSecMng.exe» [2007-09-28 75136]
«PDVDDXSrv»=»c:program filesCyberLinkPowerDVD DXPDVDDXSrv.exe» [2008-02-26 128296]
«AVP»=»c:program filesKaspersky LabKaspersky Internet Security 2010avp.exe» [2010-08-18 340520]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-01-11 39792]
«LoviVkontakte»=»c:program filesLoviVkontaktelovivkontakte.exe» [2009-12-26 739840]
«SunJavaUpdateSched»=»c:program filesCommon FilesJavaJava Updatejusched.exe» [2010-05-14 248552]
«QuickTime Task»=»c:program filesQuickTimeQTTask.exe» [2010-08-10 421888]
«iTunesHelper»=»c:program filesiTunesiTunesHelper.exe» [2010-09-01 421160]

c:programdataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2008-3-14 2938184]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1KASPER~1KASPER~1mzvkbd3.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001

S0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [2009-10-14 36880]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:windowssystem32DRIVERSklim6.sys [2009-11-03 21520]
S2 LoviVkontakteService;LoviVkontake Service;c:program filesLoviVkontakteVkontakteService.exe [2009-10-14 477184]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:windowssystem32DRIVERSklmouflt.sys [2009-10-02 19472]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contents of the ‘Scheduled Tasks’ folder

2010-10-12 c:windowsTasksUser_Feed_Synchronization-{310830F8-54FC-454F-819B-50919BEC07D8}.job
— c:windowssystem32msfeedssync.exe [2010-08-13 04:24]
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/?clid=140504
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Добавить в Анти-Баннер — c:program filesKaspersky LabKaspersky Internet Security 2010ie_banner_deny.htm
FF — ProfilePath — c:users1AppDataRoamingMozillaFirefoxProfiles7594zp9g.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://ru.start3.mozilla.com/firefox/?client=firefox-a&rls=org.mozilla:ru:official
FF — component: c:program filesMozilla Firefoxextensionslinkfilter@kaspersky.rucomponentsKavLinkFilter.dll
FF — plugin: c:program filesJavajre6binnew_pluginnpdeployJava1.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesMozilla Firefoxpluginsnp-mswmp.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension

—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.IDN.whitelist.xn--mgbaam7a8h», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.IDN.whitelist.xn--mgberp4a5d4ar», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«dom.ipc.plugins.enabled», false);
.
— — — — ORPHANS REMOVED — — — —

AddRemove-tutors_vista — E:uninstall.exe

.

---

LOCKED REGISTRY KEYS

---

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
.
Completion time: 2010-10-13 02:34:00
ComboFix-quarantined-files.txt 2010-10-12 22:33

Pre-Run: 91 628 888 064 байт свободно
Post-Run: 92 089 872 384 байт свободно

— — End Of File — — 3E35C9C2CF112F1A6F6F774DD1D90B02

[Alexandra]

Здравствуйте, Valeri! Удалила все вирусы из резервного хранилища карантина, и сделала полное сканирование антивирусом: угроз не обнаружено (только данные в главном меню). Компьютер работает стабильно. Если лог-файл Combofix выглядит нормально, то подскажите, пожалуйста, как удалить с компьютера RSIT и Combofix.
Спасибо, Alexandra.

[Автор]

Сообщения