Помогите проанализировать лог HijackThis

[100992]

Здравствуйте!
Некоторое время назад заметил у себя в диспетчере задач процесс IEXPLORE.EXE, покопавшись на форумах выяснил, что это троян. Пытался решить проблему самостоятельно но без результатно. В итоге сейчас этого процесса появляется в колличестве 3-5 штук,комп тормозит и появились еще неизвестные мне процессы в диспетчере — jwqa.exe, jwta.exe, jfxk.exe, smss.exe, lsass.exe J001.exe…… Вообще-то в компах я, практически, чайник, но что то мне говорит что их быть не должно.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:47, on 21.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Boot mode: Normal

Running processes:
E:WINDOWSSystem32smss.exe
E:WINDOWSSYSTEM32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:WINDOWSsystem32spoolsv.exe
E:PROGRA~1AVGAVG8avgwdsvc.exe
E:Program FilesJavajre6binjqs.exe
E:WINDOWSsystem32nvsvc32.exe
E:WINDOWSsystem32PnkBstrA.exe
E:WINDOWSsystem32rserver30RServer3.exe
E:PROGRA~1AVGAVG8avgam.exe
E:PROGRA~1AVGAVG8avgrsx.exe
E:PROGRA~1AVGAVG8avgemc.exe
E:WINDOWSExplorer.EXE
E:Program FilesAVGAVG8avgcsrvx.exe
E:WINDOWSsystem32rserver30FamItrfc.Exe
E:Program FilesVistaDriveIconVistaDrv.exe
E:Program FilesRocketDockRocketDock.exe
E:WINDOWSSystem32svchost.exe
E:Program FilesVtuneTBPanel.exe
E:Program FilesDownload Masterdmaster.exe
E:WINDOWSsystem32ctfmon.exe
E:Documents and SettingsAdminГлавное менюПрограммыАвтозагрузкаdata.exe
C:Program FilesRockstar GamesRockstar Games Social Club1_1_3_0RGSC.exe
E:Program FilesOperaopera.exe
E:Program FilesBitTorrentbittorrent.exe
E:WINDOWSSYSTEM32taskmgr.exe
E:Program FilesTrend MicroHijackThisHijackThis.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.ask.com/?o=101764&l=dis
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.zvercd.com/
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: (no name) — — (no file)
R3 — URLSearchHook: AVG Security Toolbar BHO — {A3BC75A2-1F87-4686-AA43-5347D756017C} — E:Program FilesAVGAVG8ToolbarIEToolbar.dll
R3 — URLSearchHook: (no name) — *CFBFAE00-17A6-11D0-99CB-00C04FD64497} — (no file)
O2 — BHO: SnagIt Toolbar Loader — {00C6482D-C502-44C8-8409-FCE54AD9C208} — E:Program FilesTechSmithSnagit 9SnagitBHO.dll
O2 — BHO: AskBar BHO — {201f27d4-3704-41d6-89c1-aa35e39143ed} — E:Program FilesAskBarDisbarbinaskBar.dll
O2 — BHO: WormRadar.com IESiteBlocker.NavFilter — {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} — E:Program FilesAVGAVG8avgssie.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — E:PROGRA~1DOWNLO~1dmiehlp.dll
O2 — BHO: AVG Security Toolbar BHO — {A3BC75A2-1F87-4686-AA43-5347D756017C} — E:Program FilesAVGAVG8ToolbarIEToolbar.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — E:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — E:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: Snagit — {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} — E:Program FilesTechSmithSnagit 9SnagitIEAddin.dll
O3 — Toolbar: AVG Security Toolbar — {CCC7A320-B3CA-4199-B1A6-9F516DD69829} — E:Program FilesAVGAVG8ToolbarIEToolbar.dll
O3 — Toolbar: Ask Toolbar — {3041d03e-fd4b-44e0-b742-2d9b88305f98} — E:Program FilesAskBarDisbarbinaskBar.dll
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE E:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE E:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [MSConfig] E:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 — HKLM..Run: [AVG8_TRAY] E:PROGRA~1AVGAVG8avgtray.exe
O4 — HKCU..Run: [VistaIcon] E:Program FilesVistaDriveIconVistaDrv.exe
O4 — HKCU..Run: [uTorrent] «E:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..Run: [RocketDock] «E:Program FilesRocketDockRocketDock.exe»
O4 — HKCU..Run: [TBPanel] E:Program FilesVtuneTBPanel.exe /A
O4 — HKCU..Run: [Download Master] E:Program FilesDownload Masterdmaster.exe -autorun
O4 — HKCU..Run: [ctfmon.exe] E:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [RGSC] C:Program FilesRockstar GamesRockstar Games Social ClubRGSCLauncher.exe /silent
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] E:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection E:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] E:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection E:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [VistaIcon] E:Program FilesVistaDriveIconVistaDrv.exe (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection E:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [VistaIcon] E:Program FilesVistaDriveIconVistaDrv.exe (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection E:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — S-1-5-18 Startup: data.exe (User ‘SYSTEM’)
O4 — .DEFAULT Startup: data.exe (User ‘Default user’)
O4 — Startup: data.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://E:PROGRA~1MICROS~1Office12EXCEL.EXE/3000
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — E:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — E:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Передать на удаленную закачку DM — E:Program FilesDownload Masterremdown.htm
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — E:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — E:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — E:PROGRA~1MICROS~1Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — E:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — E:WINDOWSNetwork Diagnosticxpnetdiag.exe
O18 — Protocol: linkscanner — {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} — E:Program FilesAVGAVG8avgpp.dll
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — E:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 — Winlogon Notify: avgrsstarter — E:WINDOWSSYSTEM32avgrsstx.dll
O23 — Service: AVG8 E-mail Scanner (avg8emc) — AVG Technologies CZ, s.r.o. — E:PROGRA~1AVGAVG8avgemc.exe
O23 — Service: AVG8 WatchDog (avg8wd) — AVG Technologies CZ, s.r.o. — E:PROGRA~1AVGAVG8avgwdsvc.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — E:WINDOWSsystem32services.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — E:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — E:WINDOWSsystem32imapi.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — E:Program FilesJavajre6binjqs.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — E:WINDOWSsystem32nvsvc32.exe
O23 — Service: Panda Process Protection Service (PavPrSrv) — Unknown owner — E:Program FilesCommon FilesPanda SoftwarePavShldpavprsrv.exe (file missing)
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — E:WINDOWSsystem32services.exe
O23 — Service: PnkBstrA — Unknown owner — E:WINDOWSsystem32PnkBstrA.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — E:WINDOWSsystem32sessmgr.exe
O23 — Service: Radmin Server V3 (RServer3) — Famatech International Corp. — E:WINDOWSsystem32rserver30RServer3.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — E:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — E:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — E:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — E:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 10438 bytes

[akoK]

Здраствуйте.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
— скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
— если вы используете Firefox, нажмите Firefox — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли
— если вы используете Opera, нажмите Opera — Select All — Empty Selected
— нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:ComboFix.txt и прикрепите к сообщению. (или скопируйте в сообщение)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. (или скопируйте в сообщение)

[100992]

ComboFix 09-08-20.07 — Admin 21.08.2009 15:16.1.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1578 [GMT 4:00]
Running from: e:documents and settingsAdminРабочий столComboFix.exe
AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:resycled
e:windowsDelete.bat
e:windowsFontsimg hearts.ttf
e:windowsFontsimg travel.ttf
e:windowssystem32uninstall.exe

.
((((((((((((((((((((((((( Files Created from 2009-07-21 to 2009-08-21 )))))))))))))))))))))))))))))))
.

2009-09-03 19:09 . 2009-09-03 19:09

---

d

---

w- e:windowssystem32RTCOM
2009-09-03 19:09 . 2008-04-14 21:40 4096

---

w- e:windowssystem32ksuser.dll
2009-09-03 19:09 . 2008-04-14 00:49 146048

---

w- e:windowssystem32driversportcls.sys
2009-09-03 19:09 . 2008-04-14 00:15 60160

---

w- e:windowssystem32driversdrmk.sys
2009-09-03 19:09 . 2008-04-14 21:40 21504

---

w- e:windowssystem32hidserv.dll
2009-09-03 19:09 . 2008-04-14 21:11 58368

---

w- e:windowssystem32driversredbook.sys
2009-09-03 19:07 . 2009-08-21 09:06

---

d-sh—w- e:windowsInstaller
2009-09-03 19:07 . 2008-04-15 16:00 77824 -c—-w- e:windowssystem32dllcachespcommon.dll
2009-09-03 19:07 . 2008-04-15 16:00 61440 -c—-w- e:windowssystem32dllcachespcplui.dll
2009-09-03 19:07 . 2008-04-15 16:00 774144 -c—-w- e:windowssystem32dllcachespttseng.dll
2009-09-03 19:07 . 2009-08-21 11:03

---

d

---

r- E:Program Files
2009-09-03 19:07 . 2008-04-15 16:00 741376 -c—-w- e:windowssystem32dllcachesapi.dll
2009-09-03 19:07 . 2008-04-15 16:00 36864 -c—-w- e:windowssystem32dllcachesapisvr.exe
2009-09-03 19:03 . 2005-08-17 13:43 330240

---

w- e:windowssystem32driversZD1211BU.sys
2009-09-03 19:03 . 2008-04-17 14:33 4707328

---

w- e:windowssystem32driversRtkHDAud.sys
2009-09-03 19:03 . 2008-04-02 07:27 1196032 —-a-w- e:windowsRtlUpd.exe
2009-09-03 19:03 . 2007-11-20 16:15 1826816 —-a-w- e:windowsSkyTel.exe
2009-09-03 19:03 . 2006-07-21 14:14 86016 —-a-w- e:windowsSOUNDMAN.EXE
2009-09-03 19:03 . 2007-03-23 17:19 9715200 —-a-w- e:windowsRTLCPL.EXE
2009-09-03 19:03 . 2008-04-10 14:52 16861184 —-a-w- e:windowsRTHDCPL.EXE
2009-09-03 19:03 . 2007-06-28 14:44 2165760 —-a-w- e:windowsMicCal.exe
2009-09-03 19:03 . 2006-05-04 14:26 2808832 —-a-w- e:windowsALCWZRD.EXE
2009-09-03 19:03 . 2005-05-03 16:43 69632 —-a-w- e:windowsALCMTR.EXE
2009-09-03 19:01 . 2008-08-20 18:35 122880

---

w- e:windowssystem32NVCOSMB.DLL
2009-09-03 19:01 . 2008-08-20 18:35 453152

---

w- e:windowssystem32nvusmb.exe
2009-09-03 19:00 . 2009-08-21 11:16

---

d

---

w- e:windowssystem32CatRoot2
2009-09-03 19:00 . 2009-08-15 19:33

---

d

---

w- e:windowssystem32CatRoot

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 16:47 . 2009-09-03 16:47 56

---

w- e:windowssystem32ezsidmv.dat
2009-09-03 16:46 . 2009-09-03 16:46

---

d

---

w- e:program filesCommon FilesSkype
2009-09-03 16:46 . 2009-09-03 16:46

---

d

---

r- e:program filesSkype
2009-09-03 16:46 . 2009-09-03 16:19

---

d

---

w- e:documents and settingsAll UsersApplication DataSkype
2009-09-03 16:40 . 2009-09-03 16:40 29926 —-a-r- e:documents and settingsAdminApplication DataMicrosoftInstaller{5EB90C06-964F-4195-B83E-BD7E55C88415}ARPPRODUCTICON.exe
2009-09-03 16:40 . 2009-09-03 16:40

---

d

---

w- e:program filesCommon FilesPinnacle
2009-09-03 16:40 . 2009-09-03 16:40

---

d

---

w- e:documents and settingsAll UsersApplication DataPinnacle Studio Ultimate
2009-09-03 16:38 . 2009-09-03 16:38

---

d

---

w- e:documents and settingsAll UsersApplication DataCrystalIdea Software
2009-09-03 16:34 . 2009-09-03 16:34

---

d

---

w- e:program filesBluetooth Remote Control
2009-09-03 16:14 . 2009-09-03 16:14

---

d

---

w- e:documents and settingsAdminApplication DataQIP
2009-09-03 15:45 . 2009-09-03 15:45

---

d

---

w- e:program filesUltraISO
2009-09-03 15:45 . 2009-09-03 15:45

---

d

---

w- e:program filesCommon FilesEZB Systems
2009-09-03 15:45 . 2009-09-03 15:45

---

d

---

w- e:program filesAhead
2009-09-03 15:45 . 2009-09-03 15:45

---

d

---

w- e:program filesCommon FilesAhead
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesuTorrent
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:documents and settingsDefault UserApplication DatauTorrent
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesTotal Commander
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesSmart Install Maker
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesRegshot
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesVDSoft
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesCCleaner
2009-09-03 15:44 . 2009-09-03 15:44

---

d

---

w- e:program filesUninstall Tool
2009-09-03 15:42 . 2009-09-03 15:42

---

d

---

w- e:program filesBonjour
2009-09-03 15:37 . 2009-09-03 15:37

---

d

---

w- e:program filesCommon FilesMacrovision Shared
2009-09-03 15:37 . 2009-09-03 15:37

---

d

---

w- e:program filesCommon FilesAdobe
2009-09-03 15:36 . 2009-09-03 15:36

---

d

---

w- e:program filesTechSmith
2009-09-03 15:36 . 2009-09-03 15:36

---

d

---

w- e:documents and settingsAll UsersApplication DataTechSmith
2009-09-03 15:36 . 2009-09-03 15:36

---

d

---

w- e:program filesVuescan
2009-09-03 15:35 . 2009-09-03 15:35

---

d

---

w- e:program filesCommon FilesMacromedia
2009-09-03 15:35 . 2009-09-03 15:35

---

d

---

w- e:program filesMacromedia
2009-09-03 15:34 . 2009-09-03 15:26

---

d

---

w- e:documents and settingsAll UsersApplication DataMicrosoft Help
2009-09-03 15:27 . 2009-09-03 15:27

---

d

---

w- e:program filesMicrosoft Works
2009-09-03 15:27 . 2009-09-03 15:27

---

d

---

w- e:program filesMicrosoft.NET
2009-09-03 15:26 . 2009-09-03 15:26

---

d

---

w- e:program filesFoxit Reader
2009-09-03 15:26 . 2009-09-03 15:26

---

d—a-w- e:documents and settingsAdminApplication DataYandex
2009-09-03 15:18 . 2009-09-03 15:18

---

d

---

w- e:program filesVistaDriveIcon
2009-09-03 15:18 . 2009-09-03 15:18

---

d—a-w- e:program filesPaint.NET
2009-09-03 15:18 . 2009-09-03 15:18 410984

---

w- e:windowssystem32deploytk.dll
2009-09-03 15:17 . 2009-09-03 15:17

---

d

---

w- e:program filesJava
2009-09-03 15:12 . 2009-09-03 15:12 22564

---

w- e:windowssystem32emptyregdb.dat
2009-09-03 15:12 . 2009-09-03 15:12

---

d

---

w- e:program filesWindows Media Connect 2
2009-08-21 11:12 . 2009-09-03 15:44

---

d

---

w- e:documents and settingsAdminApplication DatauTorrent
2009-08-21 11:08 . 2009-08-11 00:06 174576 —-a-w- e:documents and settingsLocalServiceLocal SettingsApplication DataFontCache3.0.0.0.dat
2009-08-21 11:01 . 2009-08-19 12:24

---

d

---

w- e:documents and settingsAll UsersApplication Dataavg8
2009-08-21 10:47 . 2009-08-21 08:43

---

d

---

w- e:documents and settingsAdminApplication DataBitTorrent
2009-08-21 09:12 . 2009-08-21 09:12

---

d

---

w- e:program filesTrend Micro
2009-08-21 08:43 . 2009-08-21 08:43

---

d

---

w- e:program filesBitTorrent
2009-08-20 18:54 . 2009-08-03 13:24 138464 —-a-w- e:windowssystem32driversPnkBstrK.sys
2009-08-20 18:53 . 2009-08-03 13:24 111928 —-a-w- e:windowssystem32PnkBstrB.exe
2009-08-20 18:18 . 2009-08-20 18:16

---

d

---

w- e:program filesPortal
2009-08-20 16:36 . 2009-08-12 09:21

---

d—a-w- e:documents and settingsAll UsersApplication DataTEMP
2009-08-20 15:58 . 2009-09-03 16:46

---

d

---

w- e:documents and settingsAdminApplication DataSkype
2009-08-20 14:34 . 2009-08-20 14:34 2560 —-a-w- e:windows_MSRSTRT.EXE
2009-08-20 14:28 . 2009-08-20 14:28

---

d

---

w- e:documents and settingsAdminApplication DataAuslogics
2009-08-20 14:27 . 2009-08-20 14:27

---

d

---

w- e:program filesAuslogics
2009-08-20 12:03 . 2009-09-03 16:47

---

d

---

w- e:documents and settingsAdminApplication DataskypePM
2009-08-20 10:52 . 2009-08-03 13:24 65136 —-a-w- e:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2009-08-19 13:31 . 2009-08-03 14:12

---

d

---

w- e:program filesOpenAL
2009-08-19 12:45 . 2009-08-19 12:45 12552 —-a-w- e:windowssystem32driversavgrkx86.sys
2009-08-19 12:45 . 2009-08-19 12:45 11952 —-a-w- e:windowssystem32avgrsstx.dll
2009-08-19 12:45 . 2009-08-19 12:45 335240 —-a-w- e:windowssystem32driversavgldx86.sys
2009-08-19 12:45 . 2009-08-19 12:45 27784 —-a-w- e:windowssystem32driversavgmfx86.sys
2009-08-19 12:45 . 2009-08-19 12:45

---

d

---

w- e:documents and settingsAll UsersApplication DataAVG Security Toolbar
2009-08-19 11:26 . 2009-08-13 19:30

---

d

---

w- e:program filesAtomPark
2009-08-19 10:29 . 2009-08-10 10:03

---

d

---

w- e:program filesDrWeb
2009-08-18 20:48 . 2008-04-15 16:00 484934 —-a-w- e:windowssystem32perfh019.dat
2009-08-18 20:48 . 2008-04-15 16:00 84458 —-a-w- e:windowssystem32perfc019.dat
2009-08-18 20:09 . 2009-08-07 04:57

---

d—h—w- e:program filesInstallShield Installation Information
2009-08-18 19:36 . 2009-09-03 15:35

---

d

---

w- e:program filesCommon FilesInstallShield
2009-08-18 18:56 . 2009-08-18 18:56 22328 —-a-w- e:documents and settingsAdminApplication DataPnkBstrK.sys
2009-08-18 18:56 . 2009-08-18 18:56 22328 —-a-w- e:documents and settingsAdminApplication DataPnkBstrK.sys
2009-08-18 18:55 . 2009-08-03 13:24 66872 —-a-w- e:windowssystem32PnkBstrA.exe
2009-08-18 18:55 . 2009-08-18 18:55 682280 —-a-w- e:windowssystem32pbsvc.exe
2009-08-18 18:33 . 2009-08-17 16:26

---

d

---

w- e:documents and settingsAll UsersApplication DataKaspersky Lab
2009-08-17 16:26 . 2009-08-17 16:26

---

d

---

w- e:program filesKaspersky Lab
2009-08-17 16:14 . 2009-09-03 16:35

---

d

---

w- e:documents and settingsAll UsersApplication DataPinnacle
2009-08-16 12:27 . 2009-08-15 16:20

---

d

---

w- e:documents and settingsAdminApplication DataBioshock
2009-08-15 17:44 . 2009-08-15 17:44

---

d

---

w- e:documents and settingsAll UsersApplication DataKaspersky Lab Setup Files
2009-08-15 15:52 . 2009-08-15 15:52

---

d

---

w- e:program files2K Games
2009-08-15 15:52 . 2009-08-15 15:52

---

d

---

w- e:documents and settingsAdminApplication DataInstallShield
2009-08-15 12:13 . 2009-09-03 15:36

---

d

---

w- e:program filesCommon FilesWise Installation Wizard
2009-08-14 17:16 . 2009-08-14 17:16

---

d

---

w- e:program filesCommon FilesINCA Shared
2009-08-14 10:53 . 2009-08-13 13:46

---

d

---

w- e:program filesDAEMON Tools Lite
2009-08-13 22:00 . 2009-09-03 15:44

---

d

---

w- e:program filesUnlocker
2009-08-13 18:42 . 2009-08-13 15:22

---

d

---

w- e:documents and settingsAdminApplication DataPro Cycling Manager 2009
2009-08-13 12:36 . 2009-08-13 12:36

---

d—h—r- e:documents and settingsAdminApplication DataSecuROM
2009-08-13 07:44 . 2009-08-13 07:44

---

d

---

w- e:documents and settingsAdminApplication DataRadmin
2009-08-13 07:44 . 2009-08-13 07:44

---

d

---

w- e:program filesRadmin Viewer 3
2009-08-13 07:21 . 2009-08-13 07:21

---

d

---

w- e:documents and settingsAdminApplication DataTeamViewer
2009-08-13 07:19 . 2009-08-04 12:23

---

d

---

w- e:program filesMiranda IM zeleboba’s pack
2009-08-12 15:29 . 2009-08-12 06:57

---

d

---

w- e:documents and settingsAdminApplication DataWinamp
2009-08-12 08:19 . 2009-08-12 07:41

---

d

---

w- e:documents and settingsAdminApplication DataDAEMON Tools Lite
2009-08-12 07:45 . 2009-08-12 07:45

---

d

---

w- e:documents and settingsAll UsersApplication DataDAEMON Tools Lite
2009-08-12 07:41 . 2009-09-03 15:18 721904

---

w- e:windowssystem32driverssptd.sys
2009-08-12 06:58 . 2009-08-12 06:48

---

d

---

w- e:program filesWinamp
2009-08-11 00:06 . 2009-08-11 00:06

---

d

---

w- e:program filesMSBuild
2009-08-10 23:50 . 2009-08-10 23:50

---

d

---

w- e:program filesReference Assemblies
2009-08-10 11:23 . 2009-08-10 11:22

---

d

---

w- e:program filesHalf-life 1.1.2.0
2009-08-10 09:31 . 2009-08-05 11:01

---

d

---

w- e:program filesKillingFloor
2009-08-08 19:31 . 2009-08-08 19:21

---

d

---

w- e:documents and settingsAdminApplication DataDownload Master
.

---

Sigcheck

---

[-] 2009-02-19 17:18 579072 23B7D3F3F5EC8FEEA75EC381C71CBD5E e:windowssystem32user32.dll

[-] 2009-02-19 17:18 952832 8D462CDD4769F07C7A03384436B45C0B e:windowssystem32wininet.dll

[-] 2009-02-19 17:20 361600 6A104BA98D99D53AB0C91825CE659FC6 e:windowssystem32driverstcpip.sys

[-] 2009-02-19 17:17 1721344 DD08EDC9648AFF1E064B2FAF24743BF6 e:windowsexplorer.exe

[-] 2009-02-19 17:17 30208 0C03910993057CC8BD5762441F5ABDF6 e:windowssystem32ctfmon.exe

[-] 2009-02-19 17:18 78360 0717E8AF3CD28E24C7A0903BFE60B1B0 e:windowssystem32wuauclt.exe

[-] 2009-02-19 17:17 855040 741FBE6EC177F09F49A448DE2FBF8F01 e:windowssystem32comres.dll

[-] 2009-02-19 17:21 1571840 8F51D3D08E9FFF9113EFDFA7A7511F2C e:windowssystem32sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»e:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]
«uTorrent»=»e:program filesuTorrentuTorrent.exe» [2009-08-03 288048]
«RocketDock»=»e:program filesRocketDockRocketDock.exe» [2007-09-02 495616]
«TBPanel»=»e:program filesVtuneTBPanel.exe» [2009-03-17 2158592]
«Download Master»=»e:program filesDownload Masterdmaster.exe» [2009-08-05 3777536]
«RGSC»=»c:program filesRockstar GamesRockstar Games Social ClubRGSCLauncher.exe» [2009-08-13 306088]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»e:windowssystem32NvCpl.dll» [2009-03-17 13680640]
«NvMediaCenter»=»e:windowssystem32NvMcTray.dll» [2009-03-17 86016]
«nwiz»=»nwiz.exe» — e:windowssystem32nwiz.exe [2009-03-17 1657376]
«RTHDCPL»=»RTHDCPL.EXE» — e:windowsRTHDCPL.EXE [2008-04-10 16861184]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«VistaIcon»=»e:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» — e:windowssystem32advpack.dll [2009-02-19 124928]
«IE7_012″=»advpack.dll» — e:windowssystem32advpack.dll [2009-02-19 124928]

e:documents and settingsAdminѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
data.exe [2009-7-17 166400]

e:documents and settingsAdminѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
data.exe [2009-7-17 166400]

e:documents and settingsAdminѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
data.exe [2009-7-17 166400]

e:documents and settingsAdminѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
data.exe [2009-7-17 166400]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotifyavgrsstarter]
2009-08-19 12:45 11952 —-a-w- e:windowssystem32avgrsstx.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«e:\Program Files\uTorrent\uTorrent.exe»=
«e:\WINDOWS\system32\rserver30\rserver3.exe»=
«c:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe»=
«c:\Program Files\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe»=
«c:\Program Files\Rockstar Games\Grand Theft Auto IV\GTAIV.exe»=
«e:\WINDOWS\system32\PnkBstrA.exe»=
«e:\WINDOWS\system32\PnkBstrB.exe»=
«c:\Activision\Call of Duty — World at War\CoDWaWmp.exe»=
«c:\Activision\Call of Duty — World at War\CoDWaW.exe»=
«c:\Race Driver GRID\GRID.exe»=
«e:\Program Files\Skype\Phone\Skype.exe»=
«e:\Program Files\BitTorrent\bittorrent.exe»=

R0 AvgRkx86;avgrkx86.sys;e:windowssystem32driversavgrkx86.sys [19.08.2009 16:45 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;e:windowssystem32driversavgldx86.sys [19.08.2009 16:45 335240]
R1 raddrvv3;raddrvv3;e:windowssystem32rserver30raddrvv3.sys [24.04.2008 8:49 45848]
R1 VBoxDrv;VirtualBox Service;e:windowssystem32driversVBoxDrv.sys [03.09.2009 19:47 100560]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;e:windowssystem32driversVBoxUSBMon.sys [03.09.2009 19:46 41744]
R3 mirrorv3;mirrorv3;e:windowssystem32driversrminiv3.sys [01.11.2006 6:01 3328]
R3 VBoxNetFlt;VBoxNetFlt Service;e:windowssystem32driversVBoxNetFlt.sys [03.09.2009 20:19 87568]
S1 AvgTdiX;AVG8 Network Redirector;e:windowssystem32Driversavgtdix.sys —> e:windowssystem32Driversavgtdix.sys [?]
S1 ShldDrv;Panda File Shield Driver;e:windowssystem32DRIVERSShlDrv51.sys —> e:windowssystem32DRIVERSShlDrv51.sys [?]
S2 ATE_PROCMON;ATE_PROCMON;??e:program filesAnti Trojan EliteATEPMon.sys —> e:program filesAnti Trojan EliteATEPMon.sys [?]
S2 avg8emc;AVG8 E-mail Scanner;e:progra~1AVGAVG8avgemc.exe —> e:progra~1AVGAVG8avgemc.exe [?]
S2 avg8wd;AVG8 WatchDog;e:progra~1AVGAVG8avgwdsvc.exe —> e:progra~1AVGAVG8avgwdsvc.exe [?]
S2 PavProc;Panda Process Protection Driver;??e:windowssystem32DRIVERSPavProc.sys —> e:windowssystem32DRIVERSPavProc.sys [?]
S2 RServer3;Radmin Server V3;e:windowssystem32rserver30rserver3.exe [24.04.2008 8:44 1238344]
S3 RkPavproc1;RkPavproc1;e:windowssystem32driversRkPavproc1.sys [18.08.2009 23:38 16952]
S3 tap0901;TAP-Win32 Adapter V9;e:windowssystem32driverstap0901.sys [19.11.2008 22:22 25216]

— Other Services/Drivers In Memory —

*NewlyCreated* — SRSERVICE
.
— — — — ORPHANS REMOVED — — — —

URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} — e:program filesAVGAVG8ToolbarIEToolbar.dll
URLSearchHooks-*CFBFAE00-17A6-11D0-99CB-00C04FD64497} — (no file)
BHO-{A3BC75A2-1F87-4686-AA43-5347D756017C} — e:program filesAVGAVG8ToolbarIEToolbar.dll
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} — e:program filesAVGAVG8ToolbarIEToolbar.dll
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} — e:program filesAVGAVG8ToolbarIEToolbar.dll
HKLM-Run-AVG8_TRAY — e:progra~1AVGAVG8avgtray.exe

.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.ask.com/?o=101764&l=dis
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://www.zvercd.com/
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — e:progra~1MICROS~1Office12EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — e:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — e:program filesDownload Masterdmie.htm
IE: Передать на удаленную закачку DM — e:program filesDownload Masterremdown.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — e:program filesDownload Masterdmaster.exe
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-21 15:19
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘winlogon.exe'(2020)
e:windowsSYSTEM32cscui.dll
.
Completion time: 2009-08-21 15:20
ComboFix-quarantined-files.txt 2009-08-21 11:20

Pre-Run: 10 021 961 728 байт свободно
Post-Run: 10 007 093 248 байт свободно

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
276

[akoK]

Сборка от зверя? У Вас стоял антивирус Panda?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::



File::

E:Documents and SettingsAdminГлавное менюПрограммыАвтозагрузкаdata.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[100992]

Стоит зверь,ставил панду,но удалил ее…

[akoK]

Попробуйте деинсталировать по этой инструкции
http://www.pandasecurity.com/homeusers/support/card?id=41209&idIdioma=2

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку «ОК«

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Что с проблемами?

[100992]

Да вроде исчез,не появился после перезаг))
Спс большое.

[Автор]

Сообщения