log combofix!

[nickare]

Пожалуйста, кто может помочь проанализировать лог файл? Переустановил Windows но все равно проблемы с системой остались. хотя комбофикс смог помочь с проблемой показывания скрытых фаилов (show hidden files).

Спасибо заранее!

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Для начала нужно взглянуть на лог, вставьте его в ваше следующее сообщение.

[28]

Здравствуйте!Посмотрите пожалуйста,мой log файл после использования ComboFix,может остались какие-то проблемы?Заранее большое спасибо!!! 🙂
Не знаю как загрузить log в формате .txt,поэтому только вот так:

log:

ComboFix 10-01-04.01 — Администратор 06.01.2010 15:51:27.2.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.383.126 [GMT 9:00]
Running from: c:documents and settingsАдминистраторРабочий столComboFix.exe
Command switches used :: c:documents and settingsАдминистраторРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: avast! antivirus 4.8.1368 [VPS 100105-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:program filesWebMoney Advisor
c:program filesWebMoney Advisorautosearch_plugin.dll
c:program filesWebMoney Advisorfavicon.ico
c:program filesWebMoney AdvisortbHElper.dll
c:program filesWebMoney Advisoruninstall.exe
c:program filesWebMoney Advisorwmadvisor.dll
c:program filesWebMoney AdvisorWMPlugin.dll
c:recycledBIN
C:System
c:systemFILESDesktop.ini
c:windowsa3kebook.ini
c:windowsakebook.ini
c:windowsANS2000.INI
c:windowssystem32anPLa.dll

c:windowssystem32msgsvc.dll . . . is infected!!

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_ACPI32

---

Service_acpi32

((((((((((((((((((((((((( Files Created from 2009-12-06 to 2010-01-06 )))))))))))))))))))))))))))))))
.

2010-01-05 23:24 . 2010-01-05 23:26

---

d

---

w- c:program filesListTV-Kulichki
2010-01-05 13:51 . 2005-08-25 14:18 135168

---

r- c:windowssystem32ttBdaDrvApi.dll
2010-01-05 13:51 . 2005-04-04 10:49 24576

---

r- c:windowssystem32Change.dll
2010-01-05 13:51 . 2010-01-05 13:51

---

d

---

w- c:program filesTechnoTrend
2010-01-05 06:23 . 2010-01-05 06:23

---

d

---

w- c:windowssystem32wbemRepository
2010-01-03 14:32 . 2010-01-03 14:32

---

d

---

w- c:program filesWhisky
2010-01-03 14:03 . 2010-01-03 14:03

---

d

---

w- c:program filesPokie Magic Games
2010-01-03 03:53 . 2010-01-03 03:55

---

d

---

w- c:program filesTT-budget
2009-12-27 15:51 . 2009-12-27 17:33

---

d

---

w- c:documents and settingsAll UsersApplication DataFarmFrenzy3

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-03 22:30 . 2009-11-05 04:44

---

d

---

w- c:program filesArtMoney
2010-01-03 04:36 . 2009-03-27 03:10

---

d

---

w- c:program filesSprint
2009-12-27 00:19 . 2009-01-21 07:58

---

d

---

w- c:program filesAlawar.ru
2009-12-19 00:36 . 2009-01-02 07:15

---

d

---

w- c:documents and settingsAll UsersApplication DataAlawarWrapper
2009-12-08 09:58 . 2009-03-04 13:51

---

d

---

w- c:program filesOpera
2009-11-28 04:04 . 2009-11-28 04:04

---

d

---

w- c:documents and settingsLocalServiceApplication DataGRETECH
2009-11-28 03:46 . 2009-03-08 16:53

---

d

---

w- c:program filesДлинные нарды 2.0
2009-11-24 23:54 . 2008-09-18 10:38 1280480 —-a-w- c:windowssystem32aswBoot.exe
2009-11-24 23:51 . 2008-09-18 10:38 93424 —-a-w- c:windowssystem32driversaswmon.sys
2009-11-24 23:49 . 2008-09-18 10:38 48560 —-a-w- c:windowssystem32driversaswTdi.sys
2009-11-24 23:48 . 2008-09-18 10:38 23120 —-a-w- c:windowssystem32driversaswRdr.sys
2009-11-24 23:47 . 2008-09-18 10:38 27408 —-a-w- c:windowssystem32driversaavmker4.sys
2009-11-24 23:47 . 2008-09-18 10:38 97480 —-a-w- c:windowssystem32AvastSS.scr
2009-11-21 10:47 . 2009-04-25 13:49

---

d

---

w- c:program filesWinRAR 4.65
2009-11-20 02:56 . 2009-04-04 14:57

---

d

---

w- c:program filesMagic Video Converter
2009-11-12 09:54 . 2009-02-07 20:09

---

d—a-w- c:documents and settingsAll UsersApplication DataTEMP
2009-11-12 09:21 . 2009-03-20 20:59

---

d

---

w- c:documents and settingsАдминистраторApplication DataWebMoney
2009-10-28 10:23 . 2008-04-30 13:28 720896 —-a-w- c:windowsiun6002ev.exe
2009-10-26 23:34 . 2003-08-17 23:00 50408 —-a-w- c:windowssystem32perfc019.dat
2009-10-26 23:34 . 2003-08-17 23:00 349532 —-a-w- c:windowssystem32perfh019.dat
2009-10-13 10:53 . 2003-08-17 23:00 267264 —-a-w- c:windowssystem32oakley.dll
2009-02-17 03:37 . 2009-02-17 03:37 339 —-a-w- c:program filesadrms_log.txt
2009-01-02 09:07 . 2009-01-02 08:59 990820 —-a-w- c:program files7z410b.exe
2008-07-17 04:35 . 2008-07-17 04:35 123

---

w- c:program filesRamblerGames.url
2007-01-13 06:59 . 2007-01-13 06:59 33982

---

w- c:program filesRamblerGames.ico
.

---

Sigcheck

---

[-] 2003-08-17 23:00 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . . . c:windowssystem32driversatapi.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-04-19 7700480]
«nwiz»=»nwiz.exe» [2007-04-19 1626112]
«NvMediaCenter»=»NvMCTray.dll» [2007-04-19 86016]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2009-11-24 81000]
«wmagent.exe»=»c:program filesWebMoney Agentwmagent.exe» [2009-06-16 209376]
«Ad Muncher»=»c:program filesAd MuncherAdMunch.exe» [2007-01-18 751616]
«SecNotifier»=»c:program filesSucopSecPluginSecNotifier.exe» [2009-05-31 85544]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-17 15360]

c:documents and settingsAll Usersѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
BTTray.lnk — c:program filesWIDCOMMBluetooth SoftwareBTTray.exe [2006-6-7 553021]
DVB Data (TT-budget).lnk — c:program filesTechnoTrendTT-budgetDVBData.exe [2010-1-5 700416]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe»=
«c:\Program Files\TechnoTrend\TT-budget\DVBData.exe»=
«c:\Program Files\TechnoTrend\TT-budget\DVB-TV.exe»=
«c:\Program Files\Sprint\sprint.exe»=
«c:\Program Files\WebMoney\WebMoney.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=
«c:\Program InternetFiles\Приложения\Opera_Turbo_10.10\Opera_Turbo_10.10.1767b_Portable_Multilingual\Opera_Turbo_10.10.1767b_Portable_Multilingual\App\Opera\opera.exe»=

R0 a347bus;a347bus;c:windowssystem32driversa347bus.sys [11.05.2008 11:57 160640]
R0 a347scsi;a347scsi;c:windowssystem32driversa347scsi.sys [11.05.2008 11:57 5248]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [18.09.2008 19:38 114768]
R2 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [18.09.2008 19:38 20560]
R3 tap0801;TAP-Win32 Adapter V8;c:windowssystem32driverstap0801.sys [01.10.2006 21:37 26624]
R3 TTDVBLCD;TechnoTrend DVB PCI budget Driver;c:windowssystem32driversttdvblcd.sys [31.01.2009 23:52 66144]
S2 MVSYQTMO;MVSYQTMO;??c:windowssystem32driversMVSYQTMO.sys —> c:windowssystem32driversMVSYQTMO.sys [?]
S2 RRVVRRNN;RRVVRRNN;??c:windowssystem32driversRRVVRRNN.sys —> c:windowssystem32driversRRVVRRNN.sys [?]
S3 PsSdk41;PsSdk41;c:windowssystem32driverspssdk41.sys [22.03.2009 0:34 36928]
.
Contents of the ‘Scheduled Tasks’ folder

2010-01-06 c:windowsTasksUser_Feed_Synchronization-{889A49A4-9009-4584-BEDD-A8E64DCDE61C}.job
— c:windowssystem32msfeedssync.exe [2009-03-07 19:31]
.
.

---

Supplementary Scan

---

.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = local
uInternet Settings,ProxyServer = 127.0.0.1:3128
IE: &Отправить на устройство Bluetooth… — c:program filesWIDCOMMBluetooth Softwarebtsendto_ie_ctx.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Добавить в Rambler-Закладки — c:program filesRambler AssistantramblertoolbarU0.dll/zakladki.htm
IE: Закачать ВСЕ при помощи Download Master
IE: Закачать при помощи Download Master
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/search.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU0.dll/dic.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
IE: {{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — c:program filesWebMoney Advisorwmadvisor.dll
Trusted Zone: webmoney.rubanking
TCP: {2698415E-D617-4283-BE37-197DA8DAD0ED} = 217.17.162.2,213.171.60.20
TCP: {4485ABF4-2A97-4A2F-90C0-442C60D18FF5} = 217.17.162.2,213.171.60.20
TCP: {E9B0A555-DE40-4976-81A2-17E62B8F07EC} = 217.17.162.2,213.171.60.20
DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} — hxxps://w3s.webmoney.ru/WMAcceptor.dll
.
— — — — ORPHANS REMOVED — — — —

URLSearchHooks-{63432924-FF0F-4F2D-BA15-FE46454977A3} — (no file)
BHO-{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — c:program filesWebMoney Advisorwmadvisor.dll
Toolbar-{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — c:program filesWebMoney Advisorwmadvisor.dll
WebBrowser-{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — c:program filesWebMoney Advisorwmadvisor.dll
HKLM-Run-adstopper — c:program filesAdStoperAdStopperTrayApp.exe
ActiveSetup-{67KLN5J0-4OPM-00WE-AAX5-14KC2A323342} — c:systemFILESARMY.exe
ActiveSetup-{67KLN5J0-4OPM-33WE-AAX5-34KC2A3453431} — c:setupDATAJune.exe
AddRemove-Silent Hill 2 — Directors Cut — D:Игры
AddRemove-Веселая ферма 2 — d:gamesНовая папкаВеселая ферма 2Uninstall.exe
AddRemove-Универсальный взломщик мини-игр by Vovan[Braga Software] 1.00 — c:program filestabulorasa.infoУниверсальный взломщик мини-игр by Vovan[Braga Software]Uninstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-06 16:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82A07008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf76edfc3
DriverACPI -> ACPI.sys @ 0xf7638cb8
Driveratapi -> 0x82a07008
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: TechnoTrend DVBsat PCI budget Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf74c0bc3
PacketIndicateHandler -> NDIS.sys @ 0xf74ccb21
SendHandler -> NDIS.sys @ 0xf74c0d33
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘explorer.exe'(2564)
c:windowssystem32ieframe.dll
c:windowssystem32webcheck.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32btncopy.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.

---

Other Running Processes

---

.
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:program filesAlwil SoftwareAvast4ashServ.exe
c:program filesIVT CorporationBlueSoleilBTNtService.exe
c:program filesWIDCOMMBluetooth Softwarebinbtwdins.exe
c:windowssystem32nvsvc32.exe
c:program filesAlwil SoftwareAvast4ashMaiSv.exe
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2010-01-06 16:10:01 — machine was rebooted
ComboFix-quarantined-files.txt 2010-01-06 07:09

Pre-Run: 2 455 982 080 байт свободно
Post-Run: 2 414 149 632 байт свободно

— — End Of File — — B7BB4663AE4E7BDCAEE376D1598786C5

[alex1200]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82A07008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf76edfc3
DriverACPI -> ACPI.sys @ 0xf7638cb8
Driveratapi -> 0x82a07008
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
DeviceHarddisk0DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: TechnoTrend DVBsat PCI budget Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf74c0bc3
PacketIndicateHandler -> NDIS.sys @ 0xf74ccb21
SendHandler -> NDIS.sys @ 0xf74c0d33
Warning: possible MBR rootkit infection !
user & kernel MBR OK

У меня тоже самое! Сombofix перегружается несколько раз, но удалить этот Mebroot никак не может!
Другие антивирусы не видят этот Mebroot , только Сombofix…
Что делать ?!!

[Автор]

Сообщения