неизвестные гуглу файлы exe

This topic has 1 ответ, 1 участник, and was last updated 13 years, 11 months назад by Huper.

Просмотр 2 сообщений - с 1 по 2 (из 2 всего)

Автор

Сообщения
23 декабря, 2010 в 9:40 дп #18905
Huper
Participant
- Темы:1
- Сообщений:2
7wd6hn4qgs.exe, 4onqr3hr4.exe и еще семь штук с такими же рандомными названиями, выдают сообщение об ошибке при входе под учетной записью пользователя.. Малмалваре проверил, он нашел какието девять файлов, но после перезагрузки все повторилось. Помогите пожалуйста, первый день на новой работе и така фигня, никак не победить эьу шляпу(
лог комбофикса (даже после него результат остался тотже)

ComboFix 10-12-22.05 — Admin 23.12.2010 12:12:11.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.674 [GMT 3:00]
Running from: c:documents and settingsAdminМои документыЗагрузкиComboFix.exe
Command switches used :: c:documents and settingsAdminМои документыЗагрузкиWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Антивирусная система Eset NOD32 2.70 *Disabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowssystem321310489996.dat

.
((((((((((((((((((((((((( Files Created from 2010-11-23 to 2010-12-23 )))))))))))))))))))))))))))))))
.

2010-12-23 09:04 . 2010-12-23 09:04

d

w- c:documents and settingsАдминистраторApplication DataMozilla
2010-12-23 09:04 . 2010-12-23 09:04

d

w- c:documents and settingsАдминистраторLocal SettingsApplication DataMozilla
2010-12-23 08:53 . 2010-12-23 08:53

d

w- c:documents and settingsAdminLocal SettingsApplication DataMozilla
2010-12-23 07:57 . 2010-12-20 15:09 38224 —-a-w- c:windowssystem32driversmbamswissarmy.sys
2010-12-23 07:57 . 2010-12-23 07:57

d

w- c:documents and settingsAll UsersApplication DataMalwarebytes
2010-12-23 07:57 . 2010-12-23 07:57

d

w- c:program filesMalwarebytes’ Anti-Malware
2010-12-23 07:57 . 2010-12-20 15:08 20952 —-a-w- c:windowssystem32driversmbam.sys
2010-12-23 07:43 . 2010-12-23 07:43

d—h—w- c:windowssystem32GroupPolicy
2010-12-21 11:39 . 2010-12-21 11:39 128512 —-a-w- c:windowssystem32driversklumbs.exe
2010-12-10 11:22 . 2010-12-10 11:22

d

w- c:program filesRealtek AC97
2010-12-10 11:22 . 2006-12-08 12:20 10528768 —-a-w- c:windowssystem32RTLCPL.exe
2010-12-10 11:22 . 2007-04-16 12:28 577536 —-a-w- c:windowssoundman.exe
2010-12-10 11:22 . 2006-11-17 02:40 18804736 —-a-w- c:windowssystem32alsndmgr.cpl
2010-12-10 11:22 . 2006-10-17 23:53 147456 —-a-w- c:windowssystem32RtlCPAPI.dll
2010-12-10 11:22 . 2010-12-10 11:22

d—h—w- c:program filesInstallShield Installation Information
2010-12-10 11:22 . 2006-07-31 08:27 217088 —-a-w- c:windowsAlcrmv.exe
2010-12-10 11:22 . 2006-07-31 08:19 315392 —-a-w- c:windowsalcupd.exe
2010-12-10 11:22 . 2010-12-10 11:22

d

w- c:program filesCommon FilesInstallShield
2010-12-10 11:21 . 2010-12-10 11:21

d

w- c:documents and settingsИванова_СЮРабочий стол
2010-12-10 10:34 . 2010-12-14 10:54 16856 —-a-w- c:program filesMozilla Firefoxplugin-container.exe
2010-12-10 10:34 . 2010-12-14 10:54 719832 —-a-w- c:program filesMozilla Firefoxmozcpp19.dll
2010-12-08 15:56 . 2010-12-08 15:56

d

w- c:documents and settingsИванова_СЮLocal SettingsApplication DataComita
2010-12-08 15:55 . 2010-12-08 15:55

d

w- c:documents and settingsИванова_СЮLocal SettingsApplication DataCourier.NET
2010-12-08 15:45 . 2010-12-08 15:45

d

w- c:windowssystem32ru-RU
2010-12-08 15:44 . 2010-12-08 15:44

d

w- c:program filesMSBuild
2010-12-08 15:41 . 2010-12-08 15:41

d

w- c:windowssystem32XPSViewer
2010-12-08 15:40 . 2010-12-08 15:40

d

w- c:program filesReference Assemblies
2010-12-08 15:40 . 2006-10-14 13:43 27648 —-a-w- c:windowssystem32Spoolprtprocsw32x86filterpipelineprintproc.dll
2010-12-08 15:39 . 2006-06-29 10:07 14048

w- c:windowssystem32spmsg2.dll
2010-12-08 15:24 . 2010-12-08 15:24

dc—-w- C:Comita
2010-12-08 15:14 . 2006-10-16 13:10 23856 —-a-w- c:windowssystem32spupdsvc.exe
2010-12-08 15:14 . 2010-12-08 15:14

d—h—w- c:windows$hf_mig$

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

Sigcheck

[-] 2004-08-03 . 1745B00FC1141404B28F4B94F69A8871 . 359040 . . [5.1.2600.2180] . . c:windowssystem32dllcachetcpip.sys
[-] 2004-08-03 . 1745B00FC1141404B28F4B94F69A8871 . 359040 . . [5.1.2600.2180] . . c:windowssystem32driverstcpip.sys

[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Synchronization Manager»=»c:windowssystem32mobsync.exe» [2004-08-17 143360]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«nod32kui»=»c:program filesEsetnod32kui.exe» [2008-06-06 949376]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]

c:documents and settings€ў ®ў _‘ћѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
4gw0zq4u.exe [2004-8-17 94208]
4onqr3hr4.exe [2004-8-17 94208]
4yqhj9r4.exe [2004-8-17 94208]
7aybv0yr4ol.exe [2004-8-17 94208]
7za7poqj4.exe [2004-8-17 94208]
f7wd6hn4qgs.exe [2004-8-17 94208]
j4e6kgqp4a.exe [2004-8-17 94208]
ok47gv4pf.exe [2004-8-17 94208]
u1ctn7vj4yb.exe [2004-8-17 94208]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoWelcomeScreen»= 1 (0x1)
«NoAutoUpdate»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-1134ScriptsLogon]
«Script»=\SERVER-DCBAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-1227ScriptsLogon]
«Script»=%LOGONSERVER%BAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-1232ScriptsLogon]
«Script»=%LOGONSERVER%BAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-1235ScriptsLogon]
«Script»=%LOGONSERVER%BAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-1277ScriptsLogon]
«Script»=%LOGONSERVER%BAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-2116ScriptsLogon]
«Script»=\SERVER-DCBAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversiongroup policystateS-1-5-21-3524623615-2074814969-2204749000-2134ScriptsLogon]
«Script»=%LOGONSERVER%BAT$AddDiskX.bat

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsecurityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, cpssp.dll

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Reader Speed Launch.lnk
backup=c:windowspssAdobe Reader Speed Launch.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Synchronizer.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Reader Synchronizer.lnk
backup=c:windowspssAdobe Reader Synchronizer.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^4gw0zq4u.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузка4gw0zq4u.exe
backup=c:windowspss4gw0zq4u.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^4onqr3hr4.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузка4onqr3hr4.exe
backup=c:windowspss4onqr3hr4.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^4yqhj9r4.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузка4yqhj9r4.exe
backup=c:windowspss4yqhj9r4.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^7aybv0yr4ol.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузка7aybv0yr4ol.exe
backup=c:windowspss7aybv0yr4ol.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^7za7poqj4.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузка7za7poqj4.exe
backup=c:windowspss7za7poqj4.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^f7wd6hn4qgs.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузкаf7wd6hn4qgs.exe
backup=c:windowspssf7wd6hn4qgs.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^j4e6kgqp4a.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузкаj4e6kgqp4a.exe
backup=c:windowspssj4e6kgqp4a.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^ok47gv4pf.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузкаok47gv4pf.exe
backup=c:windowspssok47gv4pf.exeStartup

[HKLM~startupfolderC:^Documents and Settings^Иванова_СЮ^Главное меню^Программы^Автозагрузка^u1ctn7vj4yb.exe]
path=c:documents and settingsИванова_СЮГлавное менюПрограммыАвтозагрузкаu1ctn7vj4yb.exe
backup=c:windowspssu1ctn7vj4yb.exeStartup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregctfmon.exe]
2004-08-17 12:04 15360 —-a-w- c:windowssystem32ctfmon.exe

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«6129:TCP»= 6129:TCP:DameWare Mini Remote Control Service

R1 CProCtrl;КриптоПро CSP драйвер;c:windowssystem32driversCProCtrl.sys [18.03.2008 15:24 46080]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:windowssystem32driversdwvkbd.sys [15.02.2007 23:00 26624]
R1 nod32drv;nod32drv;c:windowssystem32driversnod32drv.sys [06.06.2008 8:21 15424]
R2 Consult;Consult;c:windowssystem32driversCONSULT.SYS [05.07.2007 15:38 3008]
R2 haspflt;haspflt;c:windowssystem32drivershaspflt.sys [06.08.2009 8:53 29024]
R3 DwMirror;DwMirror;c:windowssystem32driversDamewareMini.sys [07.02.2007 23:00 3712]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:windowsMicrosoft.NETFrameworkv4.0.30319mscorsvw.exe [18.03.2010 13:16 130384]
S2 klumbas;klumbasis;c:windowssystem32driversklumbs.exe [21.12.2010 14:39 128512]
S3 AKSUP;AKSUP;c:windowssystem32driversAksUp.sys [04.10.2007 10:48 34406]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:windowsMicrosoft.NETFrameworkv4.0.30319WPFWPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
.

Supplementary Scan

.
LSP: c:windowssystem32imon.dll
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfilespbx58upv.default
FF — Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} — c:program filesMozilla Firefoxextensions{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
— — — — ORPHANS REMOVED — — — —

MSConfigStartUp-autoload — c:documents and settingsЗеленская_ИАcftmon.exe
AddRemove-Back2Life — v:total commander xpAddOnBack2LifeBack2Life.exe
AddRemove-Totalcmd — c:totalcmdtcuninst.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-12-23 12:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(576)
c:program filesCrypto ProCSPcpsuprt.dll
c:windowssystem32imon.dll
c:program filesEsetpr_imon.dll

— — — — — — — > ‘lsass.exe'(632)
c:program filesCrypto ProCSPcpsuprt.dll
c:windowssystem32imon.dll
c:program filesEsetpr_imon.dll
.
Completion time: 2010-12-23 12:16:03
ComboFix-quarantined-files.txt 2010-12-23 09:16

Pre-Run: 1 282 617 344 байт свободно
Post-Run: 1 363 959 808 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

— — End Of File — — 675B0F2B99E61D5FFE2950D85320A293
24 декабря, 2010 в 11:33 дп #31965
Huper
Participant
- Темы:1
- Сообщений:2
ну что же, граждане
Автор

Сообщения

Просмотр 2 сообщений - с 1 по 2 (из 2 всего)

Тема ‘неизвестные гуглу файлы exe’ закрыта для новых сообщений.

неизвестные гуглу файлы exe

Добро пожаловать

Поиск

Последние темы

СПАЙВАРЕ РУ

Нужна помощь?

Ссылки