подскажите, что именно удалить?

This topic has 9 ответов, 2 участника, and was last updated 16 years, 2 months назад by Admin.

Просмотр 10 сообщений - с 1 по 10 (из 10 всего)

Автор

Сообщения
20 ноября, 2008 в 3:08 дп #15924
carmona
Participant
- Темы:3
- Сообщений:14
подскажите, что именно удалить? заранее спасибо…
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:38:20, on 20.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesASUSBluetooth Softwarebinbtwdins.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesESETESET NOD32 Antivirusekrn.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSRTHDCPL.EXE
C:Program FilesESETESET NOD32 Antivirusegui.exe
C:Program FilesSweetIMMessengerSweetIM.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesuTorrentuTorrent.exe
C:Program FilesASUSBluetooth SoftwareBTTray.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yandex.ru/?clid=40316
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: SweetIM ToolbarURLSearchHook Class — {EEE6C35D-6118-11DC-9C72-001320C79847} — C:Program FilesSweetIMToolbarsInternet ExplorermgHelper.dll
O2 — BHO: Skype add-on (mastermind) — {22BF413B-C6D2-4d91-82A9-A0F997BA588C} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_03binssv.dll
O2 — BHO: (no name) — {7E853D72-626A-48EC-A868-BA8D5E23E045} — (no file)
O2 — BHO: SWEETIE — {EEE6C35C-6118-11DC-9C72-001320C79847} — C:Program FilesSweetIMToolbarsInternet ExplorermgToolbarIE.dll
O3 — Toolbar: SweetIM Toolbar for Internet Explorer — {EEE6C35B-6118-11DC-9C72-001320C79847} — C:Program FilesSweetIMToolbarsInternet ExplorermgToolbarIE.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Vistadrv] C:Program FilesVistaDrivevsdrv.exe
O4 — HKLM..Run: [egui] «C:Program FilesESETESET NOD32 Antivirusegui.exe» /hide /waitservice
O4 — HKLM..Run: [SweetIM] C:Program FilesSweetIMMessengerSweetIM.exe
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [MsnMsgr] ~
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Global Startup: BTTray.lnk = ?
O8 — Extra context menu item: &Отправить на устройство Bluetooth… — C:Program FilesASUSBluetooth Softwarebtsendto_ie_ctx.htm
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_03binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_03binssv.dll
O9 — Extra button: Skype — {77BF5300-1474-4EC7-9980-D32B190E9B07} — C:Program FilesSkypeToolbarsInternet ExplorerSkypeIEPlugin.dll
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) — Apple Computer, Inc. — C:Program FilesBonjourmDNSResponder.exe
O23 — Service: Bluetooth Service (btwdins) — Broadcom Corporation. — C:Program FilesASUSBluetooth Softwarebinbtwdins.exe
O23 — Service: Eset HTTP Server (EhttpSrv) — Unknown owner — C:Program FilesESETESET NOD32 AntivirusEHttpSrv.exe
O23 — Service: Eset Service (ekrn) — ESET — C:Program FilesESETESET NOD32 Antivirusekrn.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 6982 bytes

с уважением, Кармона
20 ноября, 2008 в 10:01 дп #19829
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте Кармона, добро пожаловать на Spyware-ru форум.

Прежде чем мы приступим к лечению подробно опишите вашу проблему.
20 ноября, 2008 в 11:47 дп #19830
carmona
Participant
- Темы:3
- Сообщений:14
Добрый день, Valeri! Проблема заключалась в след.: Антивирус (Нод 32Есет) постоянно выдавал о трояне cwindowssystem32autoran.inf. и еще парочку возможных троянов. Я покопалась в поисковике и набрела на ваш сайт(чему очень обрадоволась, т к там нашла подробную инструкцию об удалении — вот эта статья Как удалить трояны, которые используют autorun.inf файл)
Скачала Combofix, успешно установила, проверила комп и затем удалила, в общем все как написано, а затем установила HijackThis — делала все как написано, и мне выдало HijackThis лог, вот его я и послала Вам ранее, не могу разобраться, есть ли еще вирусы или нет… Буду очень признательна за помощь…
20 ноября, 2008 в 12:21 пп #19831
Admin
Keymaster
- Темы:40
- Сообщений:5676
Понятно 🙂
HijackThis лог выглядит нормально.

Пожалуйста запустите Combofix ещё раз, будет создан лог.
Вставьте его в ваше следующее сообщение.
20 ноября, 2008 в 1:33 пп #19832
carmona
Participant
- Темы:3
- Сообщений:14
Вот что вышло:
ComboFix 08-11-19.08 — Администратор 2008-11-20 14:28:41.3 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.867 [GMT 1:00]
Running from: c:documents and settingsАдминистраторРабочий столComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-10-20 to 2008-11-20 )))))))))))))))))))))))))))))))
.

2008-11-20 04:17 . 2008-11-20 04:23
d

c:program filesEsetOnlineScanner
2008-11-20 03:35 . 2008-11-20 03:35 d

c:program filesTrend Micro
2008-11-20 02:42 . 2008-11-20 02:42 0 -rahs—- C:khr
2008-11-19 02:25 . 2008-11-20 02:31 420,638 —a

c:windowssystem32cftm.exe
2008-11-18 16:03 . 2008-11-18 16:03 d

c:program filesSweetIM
2008-11-18 16:03 . 2008-11-18 16:03 d

c:documents and settingsAll UsersApplication DataSweetIM
2008-11-17 00:08 . 2004-08-17 16:04 159,232 —a

c:windowssystem32ptpusd.dll
2008-11-17 00:08 . 2004-08-03 22:58 15,104 —a

c:windowssystem32driversusbscan.sys
2008-11-17 00:08 . 2004-08-03 22:58 15,104 —a—c— c:windowssystem32dllcacheusbscan.sys
2008-11-17 00:08 . 2001-10-19 21:06 5,632 —a

c:windowssystem32ptpusb.dll
2008-11-15 03:41 . 2008-11-19 23:37 156 —a

c:windowsTwunk001.MTX
2008-11-15 03:41 . 2008-11-19 23:37 3 —a

c:windowsTwain001.Mtx
2008-11-15 03:41 . 2008-11-15 03:41 0 —a

c:windowsTwunk002.MTX
2008-11-15 03:27 . 2008-11-15 18:16 d

c:documents and settingsАдминистраторContacts
2008-11-15 03:27 . 2008-11-15 18:16 d

c:documents and settingsАдминистраторContacts
2008-11-04 17:35 . 2007-12-12 08:18 2,455,488

c— c:windowssystem32dllcacheieapfltr.dat
2008-11-04 17:35 . 2007-07-01 03:36 1,060,864

c— c:windowssystem32dllcacheieframe.dll.mui
2008-11-04 17:34 . 2008-08-14 14:47 2,182,144

c— c:windowssystem32dllcachentoskrnl.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,138,112

c— c:windowssystem32dllcachentkrnlmp.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,059,520

c— c:windowssystem32dllcachentkrnlpa.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,017,792

c— c:windowssystem32dllcachentkrpamp.exe
2008-11-04 17:26 . 2008-06-14 18:59 272,512

c:windowssystem32driversbthport.sys
2008-11-04 17:26 . 2008-06-14 18:59 272,512

c— c:windowssystem32dllcachebthport.sys
2008-11-03 11:46 . 2008-11-03 12:05 d

c:documents and settingsAll UsersApplication DataFLEXnet
2008-11-03 11:23 . 2008-11-03 11:23 d

c:program filesBonjour
2008-11-03 11:22 . 2008-11-11 16:01 d

c:documents and settingsАдминистраторApplication DataAdobe
2008-11-03 11:09 . 2008-11-03 11:09 d

c:program filesCommon FilesMacrovision Shared
2008-11-02 14:43 . 2008-11-02 14:44 d

c:program filesSystemRequirementsLab
2008-11-02 14:40 . 2008-11-02 14:43 d

c:documents and settingsАдминистраторApplication DataSystemRequirementsLab
2008-11-02 13:21 . 2008-11-02 13:21 23,600 —a

c:windowssystem32driversTVICHW32.SYS
2008-11-02 11:52 . 2008-11-03 11:23 d

c:program filesCommon FilesAdobe
2008-11-01 22:04 . 2008-11-01 22:04 d

c:program filesAlcohol Soft
2008-11-01 22:04 . 2004-04-30 09:37 160,640 —a

c:windowssystem32driversa347bus.sys
2008-11-01 22:04 . 2004-04-30 09:33 5,248 —a

c:windowssystem32driversa347scsi.sys
2008-10-30 19:40 . 2008-10-30 19:40 d

c:program filesMirax Software
2008-10-27 16:37 . 2008-10-27 16:37 d

c:documents and settingsАдминистраторApplication DataTalkback
2008-10-27 16:36 . 2008-10-27 16:36 d

c:documents and settingsАдминистраторApplication DataMozilla
2008-10-27 16:36 . 2008-10-27 16:36 0 —a

c:windowsnsreg.dat
2008-10-22 10:40 . 2008-10-22 10:40 d

c:program filesESET
2008-10-22 10:40 . 2008-10-22 10:40 d

c:documents and settingsAll UsersApplication DataESET
2008-10-22 10:37 . 2008-10-22 10:37 d

c:documents and settingsAll UsersApplication DataAvg7
2008-10-22 10:31 . 2008-10-22 10:31 d

c:documents and settingsАдминистраторApplication DataGoogle
2008-10-22 10:30 . 2008-10-19 17:36 d

c:program filesGoogle
2008-10-22 10:30 . 2008-11-20 13:44 d

c:documents and settingsАдминистраторApplication DataskypePM
2008-10-22 10:30 . 2008-11-20 14:26 d

c:documents and settingsАдминистраторApplication DataSkype
2008-10-22 10:30 . 2008-10-22 10:30 56 —ah

c:windowssystem32ezsidmv.dat
2008-10-22 10:29 . 2008-10-22 10:29 d

c:program filesSkype
2008-10-22 10:29 . 2008-10-22 10:29 d

c:program filesCommon FilesSkype
2008-10-22 10:29 . 2008-10-22 10:29 d

c:documents and settingsAll UsersApplication DataSkype
2008-10-21 22:17 . 2008-10-21 22:17 268 —ah

C:sqmdata03.sqm
2008-10-21 22:17 . 2008-10-21 22:17 244 —ah

C:sqmnoopt03.sqm
2008-10-20 21:29 . 2008-10-20 21:29 d

c:windowssystem32NtmsData
2008-10-20 12:55 . 2008-10-20 12:55 268 —ah

C:sqmdata02.sqm
2008-10-20 12:55 . 2008-10-20 12:55 244 —ah

C:sqmnoopt02.sqm
2008-10-20 06:04 . 2008-10-20 06:04 0 -rahs—- C:khq

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 13:26

d

w c:documents and settingsАдминистраторApplication DatauTorrent
2008-11-15 01:57

d

w c:documents and settingsАдминистраторApplication DataDAEMON Tools
2008-11-15 01:37

d

w c:program filesVistaDrive
2008-11-04 16:46

d

w c:documents and settingsAll UsersApplication DataMicrosoft Help
2008-10-19 17:44

d

w c:documents and settingsAll UsersApplication DataNVIDIA
2008-09-15 15:15 1,847,040 —-a-w c:windowssystem32win32k.sys
2008-08-26 09:11 827,904 —-a-w c:windowssystem32wininet.dll
2008-07-07 19:14 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012008070720080708index.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{EEE6C35D-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgHelper.dll» [2008-10-08 173368]

[HKEY_CLASSES_ROOTclsid{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOTSweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOTTypeLib{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOTSweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE~Browser Helper Objects{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22 1172792 —a

c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{EEE6C35B-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll» [2008-10-08 1172792]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{EEE6C35B-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll» [2008-10-08 1172792]

[HKEY_CLASSES_ROOTclsid{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOTSWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOTTypeLib{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOTSWEETIE.SWEETIE]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«MsnMsgr»=»~» [X]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2007-12-19 30208]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2008-07-09 282928]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-04-27 7561216]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-04-27 86016]
«Vistadrv»=»c:program filesVistaDrivevsdrv.exe» [2006-07-30 121089]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2007-11-14 1410304]
«SweetIM»=»c:program filesSweetIMMessengerSweetIM.exe» [2008-10-08 111928]
«nwiz»=»nwiz.exe» [2006-04-27 c:windowssystem32nwiz.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2007-11-06 c:windowsRTHDCPL.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2007-12-19 30208]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-08-26 c:windowssystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-08-26 c:windowssystem32advpack.dll]

c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BTTray.lnk — c:program filesASUSBluetooth SoftwareBTTray.exe [2007-04-01 568176]

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\MSN Messenger\msnmsgr.exe»=
«c:\Program Files\MSN Messenger\livecall.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2007-11-14 30728]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0ef53188-a4e0-11dd-bd8a-0019db9d030a}]
ShellAutoRuncommand — F:ycsagu.exe
ShellexploreCommand — F:ycsagu.exe
ShellopenCommand — F:ycsagu.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3c3b3aab-a995-11dd-bda6-0019db9d030a}]
ShellAutoRuncommand — F:oaopgf.exe
ShellexploreCommand — F:oaopgf.exe
ShellopenCommand — F:oaopgf.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7f102eca-4ce7-11dd-bd07-0019db9d030a}]
ShellAutoRuncommand — tknn6.bat
ShellexploreCommand — tknn6.bat
ShellopenCommand — tknn6.bat

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf865a-4d39-11dd-bd0f-0019db9d030a}]
ShellAutoRuncommand — tknn6.bat
ShellexploreCommand — tknn6.bat
ShellopenCommand — tknn6.bat

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf8667-4d39-11dd-bd0f-0019db9d030a}]
ShellAutoRuncommand — G:tknn6.bat
ShellexploreCommand — G:tknn6.bat
ShellopenCommand — G:tknn6.bat

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf8668-4d39-11dd-bd0f-0019db9d030a}]
ShellAutoRuncommand — G:tknn6.bat
ShellexploreCommand — G:tknn6.bat
ShellopenCommand — G:tknn6.bat

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e1d97720-4df3-11dd-bd15-0019db9d030a}]
ShellAutoRuncommand — F:fqqbum.exe
ShellexploreCommand — F:fqqbum.exe
ShellopenCommand — F:fqqbum.exe
.
.

Supplementary Scan

.
FireFox -: Profile — c:documents and settingsАдминистраторApplication DataMozillaFirefoxProfilesubhv910y.default
FireFox -: prefs.js — STARTUP.HOMEPAGE — hxxp://mail.ru/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 14:30:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-11-20 14:31:11
ComboFix-quarantined-files.txt 2008-11-20 13:30:55
ComboFix2.txt 2008-11-20 02:19:31

Pre-Run: 10 595 151 872 байт свободно
Post-Run: 10,750,001,152 байт свободно

187
20 ноября, 2008 в 1:54 пп #19833
Admin
Keymaster
- Темы:40
- Сообщений:5676
Есть ещё несколько мелочей, которые нужно подчистить.
Откройте блокнот и вставьте в него следующий текст:
```
Registry::

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0ef53188-a4e0-11dd-bd8a-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{3c3b3aab-a995-11dd-bda6-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{7f102eca-4ce7-11dd-bd07-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf865a-4d39-11dd-bd0f-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf8667-4d39-11dd-bd0f-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{86bf8668-4d39-11dd-bd0f-0019db9d030a}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{e1d97720-4df3-11dd-bd15-0019db9d030a}]



File::

F:ycsagu.exe

G:tknn6.bat

G:tknn6.bat

F:oaopgf.exe

F:ycsagu.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

По окончанию работы Combofix будет создан новый лог файл, пожалуйста вставьте его в ваше ответное сообщение.
20 ноября, 2008 в 3:20 пп #19834
carmona
Participant
- Темы:3
- Сообщений:14
ComboFix 08-11-19.08 — Администратор 2008-11-20 16:14:06.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.960 [GMT 1:00]
Running from: c:documents and settingsАдминистраторРабочий столComboFix.exe
Command switches used :: c:documents and settingsАдминистраторРабочий столCFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
F:oaopgf.exe
F:ycsagu.exe
G:tknn6.bat
.

((((((((((((((((((((((((( Files Created from 2008-10-20 to 2008-11-20 )))))))))))))))))))))))))))))))
.

2008-11-20 04:17 . 2008-11-20 04:23
d

c:program filesEsetOnlineScanner
2008-11-20 03:35 . 2008-11-20 03:35 d

c:program filesTrend Micro
2008-11-20 02:42 . 2008-11-20 02:42 0 -rahs—- C:khr
2008-11-19 02:25 . 2008-11-20 02:31 420,638 —a

c:windowssystem32cftm.exe
2008-11-18 16:03 . 2008-11-18 16:03 d

c:program filesSweetIM
2008-11-18 16:03 . 2008-11-18 16:03 d

c:documents and settingsAll UsersApplication DataSweetIM
2008-11-17 00:08 . 2004-08-17 16:04 159,232 —a

c:windowssystem32ptpusd.dll
2008-11-17 00:08 . 2004-08-03 22:58 15,104 —a

c:windowssystem32driversusbscan.sys
2008-11-17 00:08 . 2004-08-03 22:58 15,104 —a—c— c:windowssystem32dllcacheusbscan.sys
2008-11-17 00:08 . 2001-10-19 21:06 5,632 —a

c:windowssystem32ptpusb.dll
2008-11-15 03:41 . 2008-11-19 23:37 156 —a

c:windowsTwunk001.MTX
2008-11-15 03:41 . 2008-11-19 23:37 3 —a

c:windowsTwain001.Mtx
2008-11-15 03:41 . 2008-11-15 03:41 0 —a

c:windowsTwunk002.MTX
2008-11-15 03:27 . 2008-11-15 18:16 d

c:documents and settingsАдминистраторContacts
2008-11-15 03:27 . 2008-11-15 18:16 d

c:documents and settingsАдминистраторContacts
2008-11-04 17:35 . 2007-12-12 08:18 2,455,488

c— c:windowssystem32dllcacheieapfltr.dat
2008-11-04 17:35 . 2007-07-01 03:36 1,060,864

c— c:windowssystem32dllcacheieframe.dll.mui
2008-11-04 17:34 . 2008-08-14 14:47 2,182,144

c— c:windowssystem32dllcachentoskrnl.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,138,112

c— c:windowssystem32dllcachentkrnlmp.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,059,520

c— c:windowssystem32dllcachentkrnlpa.exe
2008-11-04 17:34 . 2008-08-14 14:47 2,017,792

c— c:windowssystem32dllcachentkrpamp.exe
2008-11-04 17:26 . 2008-06-14 18:59 272,512

c:windowssystem32driversbthport.sys
2008-11-04 17:26 . 2008-06-14 18:59 272,512

c— c:windowssystem32dllcachebthport.sys
2008-11-03 11:46 . 2008-11-03 12:05 d

c:documents and settingsAll UsersApplication DataFLEXnet
2008-11-03 11:23 . 2008-11-03 11:23 d

c:program filesBonjour
2008-11-03 11:09 . 2008-11-03 11:09 d

c:program filesCommon FilesMacrovision Shared
2008-11-02 14:43 . 2008-11-02 14:44 d

c:program filesSystemRequirementsLab
2008-11-02 14:40 . 2008-11-02 14:43 d

c:documents and settingsАдминистраторApplication DataSystemRequirementsLab
2008-11-02 13:21 . 2008-11-02 13:21 23,600 —a

c:windowssystem32driversTVICHW32.SYS
2008-11-02 11:52 . 2008-11-03 11:23 d

c:program filesCommon FilesAdobe
2008-11-01 22:04 . 2008-11-01 22:04 d

c:program filesAlcohol Soft
2008-11-01 22:04 . 2004-04-30 09:37 160,640 —a

c:windowssystem32driversa347bus.sys
2008-11-01 22:04 . 2004-04-30 09:33 5,248 —a

c:windowssystem32driversa347scsi.sys
2008-10-30 19:40 . 2008-10-30 19:40 d

c:program filesMirax Software
2008-10-27 16:37 . 2008-10-27 16:37 d

c:documents and settingsАдминистраторApplication DataTalkback
2008-10-27 16:36 . 2008-10-27 16:36 0 —a

c:windowsnsreg.dat
2008-10-22 10:40 . 2008-10-22 10:40 d

c:program filesESET
2008-10-22 10:40 . 2008-10-22 10:40 d

c:documents and settingsAll UsersApplication DataESET
2008-10-22 10:37 . 2008-10-22 10:37 d

c:documents and settingsAll UsersApplication DataAvg7
2008-10-22 10:30 . 2008-10-19 17:36 d

c:program filesGoogle
2008-10-22 10:30 . 2008-11-20 16:03 d

c:documents and settingsАдминистраторApplication DataskypePM
2008-10-22 10:30 . 2008-11-20 16:12 d

c:documents and settingsАдминистраторApplication DataSkype
2008-10-22 10:30 . 2008-10-22 10:30 56 —ah

c:windowssystem32ezsidmv.dat
2008-10-22 10:29 . 2008-10-22 10:29 d

c:program filesSkype
2008-10-22 10:29 . 2008-10-22 10:29 d

c:program filesCommon FilesSkype
2008-10-22 10:29 . 2008-10-22 10:29 d

c:documents and settingsAll UsersApplication DataSkype
2008-10-21 22:17 . 2008-10-21 22:17 268 —ah

C:sqmdata03.sqm
2008-10-21 22:17 . 2008-10-21 22:17 244 —ah

C:sqmnoopt03.sqm
2008-10-20 21:29 . 2008-10-20 21:29 d

c:windowssystem32NtmsData
2008-10-20 12:55 . 2008-10-20 12:55 268 —ah

C:sqmdata02.sqm
2008-10-20 12:55 . 2008-10-20 12:55 244 —ah

C:sqmnoopt02.sqm
2008-10-20 06:04 . 2008-10-20 06:04 0 -rahs—- C:khq

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-20 15:12

d

w c:documents and settingsАдминистраторApplication DatauTorrent
2008-11-15 01:57

d

w c:documents and settingsАдминистраторApplication DataDAEMON Tools
2008-11-15 01:37

d

w c:program filesVistaDrive
2008-11-04 16:46

d

w c:documents and settingsAll UsersApplication DataMicrosoft Help
2008-10-19 17:44

d

w c:documents and settingsAll UsersApplication DataNVIDIA
2008-09-15 15:15 1,847,040 —-a-w c:windowssystem32win32k.sys
2008-08-26 09:11 827,904 —-a-w c:windowssystem32wininet.dll
2008-07-07 19:14 16,384 —sha-w c:windowssystem32configsystemprofileCookiesindex.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012008070720080708index.dat
2008-07-07 19:14 32,768 —sha-w c:windowssystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
«{EEE6C35D-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgHelper.dll» [2008-10-08 173368]

[HKEY_CLASSES_ROOTclsid{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOTSweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOTTypeLib{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOTSweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE~Browser Helper Objects{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 12:22 1172792 —a

c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{EEE6C35B-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll» [2008-10-08 1172792]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{EEE6C35B-6118-11DC-9C72-001320C79847}»= «c:program filesSweetIMToolbarsInternet ExplorermgToolbarIE.dll» [2008-10-08 1172792]

[HKEY_CLASSES_ROOTclsid{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOTSWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOTTypeLib{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOTSWEETIE.SWEETIE]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«MsnMsgr»=»~» [X]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2007-12-19 30208]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2008-07-09 282928]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-04-27 7561216]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-04-27 86016]
«Vistadrv»=»c:program filesVistaDrivevsdrv.exe» [2006-07-30 121089]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2007-11-14 1410304]
«SweetIM»=»c:program filesSweetIMMessengerSweetIM.exe» [2008-10-08 111928]
«nwiz»=»nwiz.exe» [2006-04-27 c:windowssystem32nwiz.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2007-11-06 c:windowsRTHDCPL.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2007-12-19 30208]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-08-26 c:windowssystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-08-26 c:windowssystem32advpack.dll]

c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BTTray.lnk — c:program filesASUSBluetooth SoftwareBTTray.exe [2007-04-01 568176]

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\MSN Messenger\msnmsgr.exe»=
«c:\Program Files\MSN Messenger\livecall.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

R1 epfwtdir;epfwtdir;c:windowssystem32DRIVERSepfwtdir.sys [2007-11-14 30728]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-20 16:15:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-11-20 16:16:28
ComboFix-quarantined-files.txt 2008-11-20 15:16:14
ComboFix2.txt 2008-11-20 13:31:12

Pre-Run: 10 749 206 528 байт свободно
Post-Run: 10,760,818,688 байт свободно

155
21 ноября, 2008 в 7:22 дп #19835
Admin
Keymaster
- Темы:40
- Сообщений:5676
Combofix лог выглядит нормально.
Как работает компьютер ?
21 ноября, 2008 в 2:59 пп #19836
carmona
Participant
- Темы:3
- Сообщений:14
Спасибо, все работает отлично…
Всего хорошего, еще раз спасибо 😉
21 ноября, 2008 в 3:02 пп #19837
Admin
Keymaster
- Темы:40
- Сообщений:5676
Прекрасно 🙂
Несколько завершающих действий.

Удалите Combofix с вашего компьютера. Прочитайте следующее: Как правильно удалить combofix с компьютера.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.
Всего доброго!
Автор

Сообщения