Помогите удалить вирус-Троян из процесса "explorer.exe" !!

This topic has 5 ответов, 3 участника, and was last updated 14 years, 1 month назад by mgtu2004.

Просмотр 6 сообщений - с 1 по 6 (из 6 всего)

Автор

Сообщения
27 октября, 2010 в 2:49 пп #18793
mgtu2004
Participant
- Темы:1
- Сообщений:3
При работе с компьютером, антивирус (Avira) выдает сообщение о вирусе Troyan в файле explorer.exe . Сам естественно он его не удаляет. Интернет работает, но при заходе в Мой компьютер, при переключении между папками и так далее, вирус постоянно выскакивает и не дает никуда зайти, потому что окна не активны.

Вот отчет с Лог.txt после Rsit

Logfile of random’s system information tool 1.08 (written by random/random)
Run by Admin at 2010-10-27 18:39:13
Microsoft Windows XP Professional Service Pack 2
System drive C: has 33 GB (82%) free of 40 GB
Total RAM: 1919 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:39:23, on 27.10.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSSystem32WLTRYSVC.EXE
C:WINDOWSSystem32bcmwltry.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe
C:Program FilesHPQSharedSierra WirelessWin32UnicodeSWIHPWMI.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe
C:Program FilesHpHP Software UpdateHPWuSchd2.exe
C:WINDOWSsystem32WLTRAY.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesMicrosoft OfficeOffice10WINWORD.EXE
G:RSIT.exe
C:Program Filestrend microAdmin.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://qip.ru
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=EqpK%2bwKD0EuXkdfqvoBWXL6AIaiZHGiVbs608DBzDJWVpNc%2bxcuH%2fMYUey5VOgbHMZMuWFskZSOD%2bv9I%2frJcNNk5e8SkuvtqpM2Gc0aw0m24V1LvyaIemo3hnMYnyAai4sQGtgm35jc5Q3rzYiCHOqpOIRNtZZwOvL8XXMmbIf9Hf%2fDolpv5QT8zK6DwWcuB2yTnyNHPMKiOr3y8jwGaTUkxT2b4%2bQjV3XMOC7ihdcXQ0r0L99wKU6ZkLvAlXtJ9qAZZd76%2f4a%2fdo%2fdz9YmPa4sytZE9KGEnJkyCIv2dL0c%3d
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
R3 — URLSearchHook: QIPBHO Class — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsAdminApplication DataMicrosoftInternet Explorerqipsearchbar.dll
R3 — URLSearchHook: (no name) — — (no file)
O1 — Hosts: 208.109.46.212 http://www.driver-soft.com
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: QipLI — {6B5863A0-C43F-4C0A-982B-CC0E9125783F} — C:Documents and SettingsAdminApplication DataMicrosoftInternet Explorerqstatsrv.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_05binssv.dll
O2 — BHO: QIPBHO — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsAdminApplication DataMicrosoftInternet Explorerqipsearchbar.dll
O2 — BHO: FieryAds advertising module v1.5.0 — {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} — C:PROGRA~1FieryAdsFieryAds.dll
O4 — HKLM..Run: [avgnt] «C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe» /min
O4 — HKLM..Run: [HP Software Update] C:Program FilesHpHP Software UpdateHPWuSchd2.exe
O4 — HKLM..Run: [hpWirelessAssistant] %ProgramFiles%Hewlett-PackardHP Wireless AssistantHPWAMain.exe
O4 — HKLM..Run: [Broadcom Wireless Manager UI] C:WINDOWSsystem32WLTRAY.exe
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O8 — Extra context menu item: &Отправить на устройство Bluetooth… — C:Program FilesWIDCOMMBluetooth Softwarebtsendto_ie_ctx.htm
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_05binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_05binssv.dll
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: QIP 2005 — {1EF681F7-A04B-4D6D-9012-A307CCA55610} — C:Program FilesQIPqip.exe (HKCU)
O16 — DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) — http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab
O22 — SharedTaskScheduler: Предзагрузчик Browseui — {438755C2-A8BA-11D1-B96B-00A0C90312E1} — C:WINDOWSsystem32browseui.dll
O22 — SharedTaskScheduler: Демон кэша категорий компонентов — {8C7461EF-2B13-11d2-BE35-3078302C2030} — C:WINDOWSsystem32browseui.dll
O23 — Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) — Avira GmbH — C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe
O23 — Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) — Avira GmbH — C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: Bluetooth Service (btwdins) — Broadcom Corporation. — C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe
O23 — Service: Com4QLBEx — Hewlett-Packard Development Company, L.P. — C:Program FilesHewlett-PackardHP Quick Launch ButtonsCom4QLBEx.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: hpqwmiex — Hewlett-Packard Development Company, L.P. — C:Program FilesHewlett-PackardSharedhpqwmiex.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver1150Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SWIHPWMI — Sierra Wireless Inc. — C:Program FilesHPQSharedSierra WirelessWin32UnicodeSWIHPWMI.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Broadcom Wireless LAN Tray Service (wltrysvc) — Unknown owner — C:WINDOWSSystem32WLTRYSVC.EXE
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

—
End of file — 9223 bytes

======Registry dump======

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2005-09-24 63136]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{6B5863A0-C43F-4C0A-982B-CC0E9125783F}]
QipLI Class — C:Documents and SettingsAdminApplication DataMicrosoftInternet Explorerqstatsrv.dll [2010-06-09 45568]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class — C:Program FilesJavajre1.6.0_05binssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{95289393-33EA-4F8D-B952-483415B9C955}]
QIPBHO Class — C:Documents and SettingsAdminApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2010-06-09 138240]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}]
FieryAds advertising module v1.5.0 — C:PROGRA~1FieryAdsFieryAds.dll [2010-02-22 671232]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«avgnt»=C:Program FilesAviraAntiVir PersonalEdition Classicavgnt.exe [2008-07-24 266497]
«HP Software Update»=C:Program FilesHpHP Software UpdateHPWuSchd2.exe [2007-05-08 54840]
«hpWirelessAssistant»=C:Program FilesHewlett-PackardHP Wireless AssistantHPWAMain.exe [2007-01-10 472776]
«Broadcom Wireless Manager UI»=C:WINDOWSsystem32WLTRAY.exe [2008-07-05 1871872]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2008-03-15 30208]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregioCentre]
C:GeniusioCentregTaskBar.exe [2007-04-13 61440]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
C:WINDOWSsystem32NeroCheck.exe [2006-01-12 155648]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP Internet Guardian]
C:Documents and SettingsAdminApplication DataQipGuardQipGuard.exe [2010-06-09 187904]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP2005]
C:Program FilesQIPqip.exe [2009-08-13 3276288]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQlbCtrl.exe]
C:Program FilesHewlett-PackardHP Quick Launch ButtonsQlbCtrl.exe [2008-02-26 177456]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSony Ericsson PC Suite]
C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe [2006-11-24 487424]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSoundMAX]
C:Program FilesAnalog DevicesSoundMAXSmax4.exe [2006-07-13 729088]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSoundMAXPnP]
C:Program FilesAnalog DevicesCoresmax4pnp.exe [2007-01-05 872448]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregStartCCC]
C:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe [2006-11-10 90112]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSynTPEnh]
C:Program FilesSynapticsSynTPSynTPEnh.exe [2008-01-18 1028096]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
C:Program FilesVistaDriveIconVistaDrv.exe [2008-01-02 132096]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^BTTray.lnk]
C:PROGRA~1WIDCOMMBLUETO~1BTTray.exe [2007-02-06 561213]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
C:PROGRA~1AdobeACROBA~1.0ReaderREADER~1.EXE [2005-09-24 29696]

C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка
Microsoft Office.lnk — C:Program FilesMicrosoft OfficeOffice10OSA.EXE

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyAtiExtEvent]
C:WINDOWSsystem32Ati2evxx.dll [2007-12-18 122880]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad]
WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32wpdshserviceobj.dll [2008-03-02 133632]
UPnPMonitor — {e57ce738-33e8-4c51-8354-bb4de9d215d1} — C:WINDOWSsystem32upnpui.dll [2004-08-18 239616]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootnetworkWdf01000.sys]

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145
«NoSharedDocuments»=1
«NoSMConfigurePrograms»=1

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«C:DOCUME~1AdminLOCALS~1TempSFX19.tmpSwiApiMux.exe»=»C:DOCUME~1AdminLOCALS~1TempSFX19.tmpSwiApiMux.exe:*:Enabled:SwiApiMux»
«C:WINDOWSsystem32mmc.exe»=»C:WINDOWSsystem32mmc.exe:*:Enabled:Консоль управления (MMC)»
«C:Program FilesTotal CommanderTotalcmd.exe»=»C:Program FilesTotal CommanderTotalcmd.exe:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows»
«C:Program FilesuTorrentuTorrent.exe»=»C:Program FilesuTorrentuTorrent.exe:*:Enabled:µTorrent»
«C:WINDOWSsystem32sessmgr.exe»=»C:WINDOWSsystem32sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019»
«C:Program FilesQIPqip.exe»=»C:Program FilesQIPqip.exe:*:Enabled:Quiet Internet Pager»

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»

======List of files/folders created in the last 1 months======

2010-10-27 18:39:14 —-D—- C:Program Filestrend micro
2010-10-27 18:39:13 —-D—- C:rsit

======List of files/folders modified in the last 1 months======

2010-10-27 18:39:14 —-RD—- C:Program Files
2010-10-27 17:23:03 —-D—- C:WINDOWSsystem32
2010-10-27 17:23:03 —-A—- C:WINDOWSsystem32PerfStringBackup.INI
2010-10-27 17:20:10 —-D—- C:WINDOWSTemp
2010-10-27 17:19:48 —-D—- C:WINDOWSsystem32CatRoot2
2010-10-27 17:19:18 —-D—- C:WINDOWS
2010-10-27 17:17:53 —-D—- C:WINDOWSsystem32config
2010-10-27 17:17:37 —-D—- C:WINDOWSsystem32wbem
2010-10-27 17:17:37 —-D—- C:WINDOWSRegistration
2010-10-27 17:17:01 —-A—- C:WINDOWSSchedLgU.Txt
2010-10-27 17:16:46 —-D—- C:WINDOWSsystem32Restore
2010-10-27 17:01:12 —-A—- C:WINDOWSwin.ini
2010-10-27 17:01:12 —-A—- C:WINDOWSsystem.ini
2010-10-27 17:01:11 —-D—- C:WINDOWSpss
2010-10-16 18:29:20 —-A—- C:WINDOWSNeroDigital.ini

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 ohci1394;OHCI-совместимый IEEE 1394 хост-контроллер; C:WINDOWSsystem32DRIVERSohci1394.sys [2008-03-15 61312]
R0 sptd;sptd; C:WINDOWSSystem32Driverssptd.sys [2008-07-05 717296]
R1 AmdK8;Драйвер AMD процессора; C:WINDOWSsystem32DRIVERSAmdK8.sys [2006-07-01 43520]
R1 avgio;avgio; ??C:Program FilesAviraAntiVir PersonalEdition Classicavgio.sys []
R1 avipbb;avipbb; C:WINDOWSsystem32DRIVERSavipbb.sys [2009-05-27 75096]
R1 kbdhid;Драйвер клавиатуры HID; C:WINDOWSsystem32DRIVERSkbdhid.sys [2008-03-15 14848]
R1 ssmdrv;ssmdrv; C:WINDOWSsystem32DRIVERSssmdrv.sys [2007-03-01 28352]
R1 WmiAcpi;Интерфейс управления для ACPI Microsoft Windows; C:WINDOWSsystem32DRIVERSwmiacpi.sys [2008-03-15 8832]
R2 rspndr;Ответчик обнаружения топологии уровня связи; C:WINDOWSsystem32DRIVERSrspndr.sys [2006-12-04 62336]
R3 ADIHdAudAddService;ADI UAA Function Driver for High Definition Audio Service; C:WINDOWSsystem32driversADIHdAud.sys [2008-02-05 281600]
R3 AEAudio;AE Audio Service; C:WINDOWSsystem32driversAEAudio.sys [2007-07-13 94976]
R3 AgereSoftModem;Agere Systems Soft Modem; C:WINDOWSsystem32DRIVERSAGRSM.sys [2007-01-02 1160320]
R3 ati2mtag;ati2mtag; C:WINDOWSsystem32DRIVERSati2mtag.sys [2007-12-18 2849280]
R3 avgntflt;avgntflt; ??C:Program FilesAviraAntiVir PersonalEdition Classicavgntflt.sys []
R3 BCM43XX;Драйвер сетевого адаптера Broadcom 802.11; C:WINDOWSsystem32DRIVERSbcmwl5.sys [2009-07-07 1391104]
R3 BTKRNL;Нумератор шины Bluetooth; C:WINDOWSsystem32DRIVERSbtkrnl.sys [2007-02-14 868298]
R3 BTWUSB;WIDCOMM USB Bluetooth Driver; C:WINDOWSSystem32Driversbtwusb.sys [2007-02-14 67960]
R3 gHidPnp;USB Device Enhanced Function Driver; C:WINDOWSSystem32DriversgHidPnp.Sys [2007-04-13 16384]
R3 gMouUsb;USB Mouse Device Drv; C:WINDOWSsystem32DRIVERSgMouUsb.sys [2007-03-13 9856]
R3 HBtnKey;HBtnKey; C:WINDOWSsystem32DRIVERScpqbttn.sys [2006-06-28 9472]
R3 HDAudBus;Драйвер шины Microsoft UAA для High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2005-12-26 138752]
R3 hidusb;Драйвер класса HID Microsoft; C:WINDOWSsystem32DRIVERShidusb.sys [2004-08-18 9600]
R3 HpqKbFiltr;HpqKbFilter Driver; C:WINDOWSsystem32DRIVERSHpqKbFiltr.sys [2007-06-18 16768]
R3 mouhid;Драйвер мыши HID; C:WINDOWSsystem32DRIVERSmouhid.sys [2004-08-18 12160]
R3 pfc;Padus ASPI Shell; C:WINDOWSsystem32driverspfc.sys [2008-07-05 10368]
R3 SynTP;Synaptics TouchPad Driver; C:WINDOWSsystem32DRIVERSSynTP.sys [2008-01-18 220640]
R3 USBSTOR;Драйвер запоминающих устройств для USB; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-03-15 26496]
R3 Wdf01000;Wdf01000; C:WINDOWSsystem32DRIVERSWdf01000.sys [2006-11-02 492000]
S3 ac17uygv;ac17uygv; C:WINDOWSsystem32driversac17uygv.sys []
S3 Arp1394;Протокол клиента 1394 ARP; C:WINDOWSsystem32DRIVERSarp1394.sys [2008-03-15 60800]
S3 b57w2k;Broadcom NetLink Gigabit Ethernet; C:WINDOWSsystem32DRIVERSb57xp32.sys [2006-12-15 160256]
S3 eabusb;eabusb; C:WINDOWSsystem32DRIVERSeabusb.sys [2005-09-19 5760]
S3 HP24X;HP PC Card Smart Card Reader; C:WINDOWSsystem32DRIVERSHP24X.sys [2006-10-19 33024]
S3 NIC1394;Сетевой драйвер 1394; C:WINDOWSsystem32DRIVERSnic1394.sys [2008-03-15 61824]
S3 WudfPf;Windows Driver Foundation — User-mode Driver Framework Platform Driver; C:WINDOWSsystem32DRIVERSWudfPf.sys [2008-03-02 77568]
S3 WudfRd;Windows Driver Foundation — User-mode Driver Framework Reflector; C:WINDOWSsystem32DRIVERSwudfrd.sys [2008-03-02 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirScheduler;Avira AntiVir Personal – Free Antivirus Scheduler; C:Program FilesAviraAntiVir PersonalEdition Classicsched.exe [2009-01-10 68865]
R2 AntiVirService;Avira AntiVir Personal – Free Antivirus Guard; C:Program FilesAviraAntiVir PersonalEdition Classicavguard.exe [2009-01-10 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:WINDOWSsystem32Ati2evxx.exe [2007-12-18 512000]
R2 btwdins;Bluetooth Service; C:Program FilesWIDCOMMBluetooth Softwarebinbtwdins.exe [2007-02-06 266295]
R2 MDM;Machine Debug Manager; C:Program FilesCommon FilesMicrosoft SharedVS7Debugmdm.exe [2001-02-23 270336]
R2 SWIHPWMI;SWIHPWMI; C:Program FilesHPQSharedSierra WirelessWin32UnicodeSWIHPWMI.exe [2006-12-04 292384]
R2 wltrysvc;Broadcom Wireless LAN Tray Service; C:WINDOWSSystem32WLTRYSVC.EXE [2008-07-05 24064]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2007-10-24 33800]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2007-10-24 70144]
S3 Com4QLBEx;Com4QLBEx; C:Program FilesHewlett-PackardHP Quick Launch ButtonsCom4QLBEx.exe [2008-02-07 193840]
S3 hpqwmiex;hpqwmiex; C:Program FilesHewlett-PackardSharedhpqwmiex.exe [2008-01-25 148832]
S3 IDriverT;InstallDriver Table Manager; C:Program FilesCommon FilesInstallShieldDriver1150Intel 32IDriverT.exe [2005-11-14 69632]
S3 WMPNetworkSvc;Windows Media Player Network Sharing Service; C:Program FilesWindows Media Playerwmpnetwk.exe [2006-10-18 913408]
S3 WudfSvc;Windows Driver Foundation — User-mode Driver Framework; C:WINDOWSsystem32svchost.exe [2004-08-18 14336]

EOF

Вот содержимое Info.txt после Rsit

info.txt logfile of random’s system information tool 1.08 2010-10-27 18:39:25

======Uninstall list======

—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
ACDSee 9 Photo Manager—>MsiExec.exe /I{B2D41883-3BFC-4BA0-A2F6-5A2C9836C238}
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Reader 7.0.5 — Russian—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A70500000002}
Agere Systems HDA Modem—>agrsmdel
AIMP2—>C:Program FilesAIMP2Uninstall.exe
Amazing Waterfall — EleFun Game v1.25 Freeware—>»C:Program FilesAmazing Waterfall — EleFun Game v1.25 Freewareunins000.exe»
AMD Processor Driver—>C:Program FilesInstallShield Installation Information{C151CE54-E7EA-4804-854B-F515368B0798}setup.exe -runfromtemp -l0x0019 -removeonly
ASUSDVD XP—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}Setup.exe» -uninstall
ATI Catalyst Control Center—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime91Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{055EE59D-217B-43A7-ABFF-507B966405D8}setup.exe» -l0x0
ATI Display Driver—>rundll32 C:WINDOWSsystem32atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal — Free Antivirus—>C:Program FilesAviraAntiVir PersonalEdition ClassicSETUP.EXE /REMOVE
Broadcom NetXtreme Ethernet Controller—>MsiExec.exe /X{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}
Catalyst Control Center — Branding—>MsiExec.exe /I{3F93B2BA-18EC-462B-9ACD-396599353EE1}
Daemon Tools LIte—>»C:Program FilesDaemon Tools LiteUninst.exe»
Exact Audio Copy 0.99pb4—>C:Program FilesExact Audio Copyuninst.exe
HP Broadband Wireless Modules—>MsiExec.exe /X{AA0CBF76-BD8E-48C0-AE32-31684A629836}
HP Integrated Module with Bluetooth wireless technology—>MsiExec.exe /X{84814E6B-2581-46EC-926A-823BD1C670F6}
HP PCMCIA Smart Card Reader—>MsiExec.exe /I{24B3DF86-75B9-4DBD-AC39-C0C041583E6F}
HP Product Detection—>MsiExec.exe /X{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}
HP Quick Launch Buttons 6.40 C2—>C:Program FilesInstallShield Installation Information{34D2AB40-150D-475D-AE32-BD23FB5EE355}Setup.exe -runfromtemp -l0x0019 -removeonly uninst
HP Update—>MsiExec.exe /X{FE57DE70-95DE-4B64-9266-84DA811053DB}
HP Wireless Assistant—>MsiExec.exe /I{6FE30813-AC60-40A3-BE53-F6713A1F3893}
Icon Restore 1.0—>C:WINDOWSunins000.exe
ioCentre—>C:Program FilesInstallShield Installation Information{A2B4621B-CEB9-4E44-95FD-3500D4DB3727}setup.exe -runfromtemp -l0x0019 -removeonly
Java(TM) 6 Update 5—>MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Jigsaw Puzzle Lite (remove only)—>»C:Program FilesKraiSoftJigsawPuzzleLiteuninstall.exe»
K-Lite Mega Codec Pack 3.8.0—>»C:Program FilesK-Lite Codec Packunins000.exe»
Light Alloy 4.1—>C:Program FilesLight Alloyuninst.exe
Microsoft .NET Framework 1.1 Russian Language Pack—>MsiExec.exe /X{2BB372D9-52B4-410A-BC1A-FEAB63181EEF}
Microsoft .NET Framework 1.1—>msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1—>MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Service Pack 1—>MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5—>»C:WINDOWS$NtUninstallWdf01005$spuninstspuninst.exe»
Microsoft Office XP (профессиональный выпуск)—>MsiExec.exe /I{91110419-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.12)—>C:Program FilesMozilla Firefoxuninstallhelper.exe
MSXML 4.0 SP2 (KB936181)—>MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 6.0 Parser (KB933579)—>MsiExec.exe /I{8FCE7820-08DF-4663-AF5B-B190EF387C4B}
Nero 6—>C:Program FilesAheadnerouninstallUNNERO.exe /UNINSTALL
Norton WinDoctor 2007—>C:Program FilesNorton WinDoctor 2007Uninstal.exe
Paint.NET v3.22—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFPaintDN.inf,Uninstall
Sony Ericsson PC Suite—>MsiExec.exe /I{FC906D5C-91F9-4DA4-A765-6DCBB669F317}
SoundMAX—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime100Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{F0A37341-D692-11D4-A984-009027EC0A9C}Setup.exe» -l0x19 -removeonly
Synaptics Pointing Device Driver—>rundll32.exe «C:Program FilesSynapticsSynTPSynISDLL.dll»,standAloneUninstall
Uninstall Tool—>»C:Program FilesUninstall Toolunins000.exe»
Vista Drive Icon—>rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFVistaDrv.inf,Uninstall
Winamp—>»C:Program FilesWinampunins000.exe»
Windows Media Player Firefox Plugin—>MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Адаптер беспроводной локальной сети Broadcom 802.11—>»C:Program FilesBroadcomBroadcom 802.11Driverbcmwlu00.exe» verbose /rootkey=»SoftwareBroadcom802.11UninstallInfo» /rootdir=»C:Program FilesBroadcomBroadcom 802.11Driver»
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Единый модуль поддержки сети Fiery—>C:Program FilesFieryAdsFieryAdsUninstall.exe
Обновление безопасности для Windows XP (KB958644)—>»C:WINDOWS$NtUninstallKB958644$spuninstspuninst.exe»
Пакет драйверов Windows — Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)—>C:PROGRA~1DIFX7B44739871F4D539FA473F57A832EA4B6A59EF06DPInst.exe /d /u C:WINDOWSsystem32DRVSTOREamdk8_5F4DE5B38BD0C6463F94F7534C8C84D5EACE412Damdk8.inf
Утилита беспроводной сети Broadcom—>»C:Program FilesBroadcomBroadcom 802.11bcmwlu00.exe» verbose /rootkey=»SoftwareBroadcom802.11_AppUninstallInfo» /rootdir=»C:Program FilesBroadcomBroadcom 802.11″

======Hosts File======

127.0.0.1 mpa.one.microsoft.com
208.109.46.212 http://www.driver-soft.com

======Security center information======

AV: Avira AntiVir PersonalEdition (outdated)

======System event log======

Computer Name: MICROSOF-9F028F
Event Code: 7035
Message: Служба «Беспроводная настройка» успешно отправила управляющий элемент «остановить».

Record Number: 14856
Source Name: Service Control Manager
Time Written: 20100721133949.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: MICROSOF-9F028F
Event Code: 7036
Message: Служба «Служба шлюза уровня приложения» перешла в состояние Работает.

Record Number: 14855
Source Name: Service Control Manager
Time Written: 20100721133947.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-9F028F
Event Code: 7035
Message: Служба «Служба шлюза уровня приложения» успешно отправила управляющий элемент «запустить».

Record Number: 14854
Source Name: Service Control Manager
Time Written: 20100721133947.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: MICROSOF-9F028F
Event Code: 7036
Message: Служба «Служба обнаружения SSDP» перешла в состояние Работает.

Record Number: 14853
Source Name: Service Control Manager
Time Written: 20100721133947.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-9F028F
Event Code: 7036
Message: Служба «Служба COM записи компакт-дисков IMAPI» перешла в состояние Работает.

Record Number: 14852
Source Name: Service Control Manager
Time Written: 20100721133947.000000+240
Event Type: информация
User:

=====Application event log=====

Computer Name: MICROSOF-9F028F
Event Code: 2002
Message:
Record Number: 3297
Source Name: EAPOL
Time Written: 20100603183950.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-9F028F
Event Code: 2003
Message:
Record Number: 3296
Source Name: EAPOL
Time Written: 20100603183950.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-9F028F
Event Code: 4096
Message:
Record Number: 3295
Source Name: Avira AntiVir
Time Written: 20100603183944.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEM

Computer Name: MICROSOF-9F028F
Event Code: 0
Message:
Record Number: 3294
Source Name: SWIHPWMI
Time Written: 20100603183921.000000+240
Event Type: информация
User:

Computer Name: MICROSOF-9F028F
Event Code: 0
Message:
Record Number: 3293
Source Name: btwdins
Time Written: 20100603183912.000000+240
Event Type: информация
User:

======Environment variables======

«ComSpec»=%SystemRoot%system32cmd.exe
«Path»=%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesATI TechnologiesATI.ACECore-Static;C:Program FilesCommon FilesTeleca Shared
«windir»=%SystemRoot%
«FP_NO_HOST_CHECK»=NO
«OS»=Windows_NT
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_LEVEL»=15
«PROCESSOR_IDENTIFIER»=x86 Family 15 Model 104 Stepping 2, AuthenticAMD
«PROCESSOR_REVISION»=6802
«NUMBER_OF_PROCESSORS»=2
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«TEMP»=%SystemRoot%TEMP
«TMP»=%SystemRoot%TEMP

EOF
27 октября, 2010 в 5:04 пп #31731
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Скачайте программу Combofix. Если вы уже скачивали эту программу, то удалите её и скачайте свежую копию.
Закройте все открытые окна и запустите эту программу.

После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.
27 октября, 2010 в 5:35 пп #31732
mgtu2004
Participant
- Темы:1
- Сообщений:3
Понял. Перешел по ссылке . Там описано 3 этапа запуска программы + установка Recovery console. Это тоже делать? или просто установить и запустить?
27 октября, 2010 в 5:39 пп #31733
Dvulikaya
Participant
- Темы:0
- Сообщений:2
Здравствуйте!
Извините, что вклиниваюсь.
У меня такая же радось… уже 2 дня.
Мне тоже необходимо проделать ту же операцию, что и mgtu2004?
27 октября, 2010 в 7:09 пп #31734
Dvulikaya
Participant
- Темы:0
- Сообщений:2
Вот что вышло у меня

ComboFix 10-10-26.04 — Admin 27.10.2010 21:48:07.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.447.108 [GMT 3:00]
Running from: c:documents and settingsAdminРабочий столComboFix.exe
Command switches used :: c:documents and settingsAdminРабочий столWindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:windowsdel.bat
c:windowssystem32Пузыри.scr
c:windowssystem32ssField Lines.scr
c:windowssystem32ssRibbons.scr
c:windowssystem32SYSINTERNALS_BLUESCREEN.SCR

BITS: Possible infected sites

hxxp://download.yandex.ru
hxxp://soft.export.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-09-27 to 2010-10-27 )))))))))))))))))))))))))))))))
.

2010-10-11 21:10 . 2010-10-11 21:10

d

w- c:documents and settingsAll UsersApplication DataNero
2010-10-11 20:57 . 2010-10-11 20:57

d

w- c:documents and settingsAdminApplication DataNero
2010-10-11 20:55 . 2010-10-11 20:55

d

w- c:program filesCommon FilesNero

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

Sigcheck

[-] 2007-12-21 . 6EBEAE64113900F24318B02D3A87C112 . 360576 . . [5.1.2600.2892] . . c:windowssystem32driverstcpip.sys

[-] 2007-12-21 . 7A1DB08674B329BA2104BB90C9CD9BC5 . 80216 . . [7.0.6000.381] . . c:windowssystem32wuauclt.exe

[-] 2007-12-21 . 196B409A7C1C39A5A0F7566C2741FAD1 . 578560 . . [5.1.2600.3099] . . c:windowssystem32user32.dll

[-] 2007-12-21 . 907712EC5AE77486FC4DB8DD917C731A . 1720832 . . [6.00.2900.3156] . . c:windowsexplorer.exe

[-] 2008-02-27 . 867C8A991BF369B3FAFC3B64ADC6FC5C . 1548288 . . [5.1.2600.2180] . . c:windowssystem32sfcfiles.dll

c:windowsSystem32ctfmon.exe … is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{963B125B-8B21-49A2-A3A8-E37092276531}]
2009-10-23 10:03 126688 —-a-w- c:program filesGet-Styles 2.0updatebho.dll

[HKEY_LOCAL_MACHINE~Browser Helper Objects{9B5FB65F-631E-4564-ABF2-AD71845B28E0}]
2010-09-24 08:53 226016 —-a-w- c:program filesGet-Styles 2.0iejsloader.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{5BCDC9E9-A980-4B53-B2E8-60CFF484DA61}»= «c:program filesGet-Styles 2.0ietoolbar.dll» [2010-09-24 130272]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{5bcdc9e9-a980-4b53-b2e8-60cff484da61}]
[HKEY_CLASSES_ROOTScriptedStar.Bar.2]
[HKEY_CLASSES_ROOTTypeLib{B124F09B-1B6C-431D-BE2D-DBA6864A8897}]
[HKEY_CLASSES_ROOTScriptedStar.Bar]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2007-01-25 201728]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2007-07-02 132608]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2010-10-01 3880256]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2010-09-26 328056]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«HControl»=»c:windowsATK0100HControl.exe» [2006-10-14 110592]
«VolumeControl»=»c:program filesVolumeControlvolume.exe» [2003-09-15 36864]
«RTHDCPL»=»RTHDCPL.EXE» [2008-06-13 16871936]
«avgnt»=»c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe» [2008-06-12 266497]
«StartCCC»=»c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2006-11-10 90112]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«Punto Switcher»=»c:program filesPunto Switcherps.exe» [2007-01-25 201728]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2007-07-02 132608]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2007-12-21 124928]
«IE7_012″=»advpack.dll» [2007-12-21 124928]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSMSERIAL]
2006-08-07 10:11 573440 —-a-w- c:program filesMotorolaSMSERIALsm56hlpr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent\utorrent.exe»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Opera\opera.exe»=

S4 sptd;sptd;c:windowssystem32driverssptd.sys [27.02.2008 3:39 691696]
.
.

Supplementary Scan

.
uStart Page = hxxp://www.yandex.ru/?clid=123048
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Передать на удаленную закачку DM — c:program filesDownload Masterremdown.htm
TCP: {F4F8F547-4AB2-4463-87AE-D1407513FDE6} = 195.5.46.10,195.5.46.12
Handler: base64 — {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} — c:program filesGet-Styles 2.0ietdataprotocol.dll
Handler: chrome — {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} — c:program filesGet-Styles 2.0ietdataprotocol.dll
Handler: prox — {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} — c:program filesGet-Styles 2.0ietdataprotocol.dll
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfilesytfkd5hl.default
FF — prefs.js: browser.search.selectedEngine — Google
FF — prefs.js: browser.startup.homepage — hxxp://yandex.ru/?clid=123049
FF — prefs.js: keyword.URL — hxxp://yandex.ru/yandsearch?clid=123045&text=
FF — component: c:documents and settingsAdminApplication DataMozillaFirefoxProfilesytfkd5hl.defaultextensions{32a1fd71-835e-4b11-8e54-886fda0b4c89}componentsqippipe.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesMozilla Firefoxpluginsnpdm.dll
FF — plugin: c:program filesOperaprogrampluginsnppl3260.dll
FF — plugin: c:program filesOperaprogrampluginsnprpjplug.dll
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} — c:program filesCommon FilesAheadlibNMBgMonitor.exe
HKCU-Run-ICQ — c:program filesICQ6.5ICQ.exe
HKLM-Run-WinampAgent — c:program filesWinampwinampa.exe
AddRemove-Microsoft .NET Framework 2.0 Language Pack — RUS — c:windowsMicrosoft.NETFrameworkv2.0.50727Microsoft .NET Framework 2.0 Language Pack — RUSinstall.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-27 21:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(804)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll

— — — — — — — > ‘lsass.exe'(860)
c:windowssystem32SETUPAPI.dll
.
Completion time: 2010-10-27 21:56:47
ComboFix-quarantined-files.txt 2010-10-27 18:56

Pre-Run: 5 662 285 824 байт свободно
Post-Run: 5 770 571 776 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(2)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

— — End Of File — — 3AAE70A3C8B29853499F976D1AD8217C

Сообщения от авиры с сообщением о вирусне продолжают вылазить (((
28 октября, 2010 в 1:45 пп #31735
mgtu2004
Participant
- Темы:1
- Сообщений:3
Вот Лог после запуска ComboFix

ComboFix 10-10-27.09 — Admin 28.10.2010 17:39:19.1.2 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1919.1490 [GMT 4:00]
Running from: c:documents and settingsAdminМои документыComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAdminApplication DataAdSubscribe
c:documents and settingsAdminApplication DataAdSubscribeAdSubscribe.dat
c:documents and settingsAdminApplication DataAdSubscribeFeed.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed1.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed10.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed11.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed12.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed13.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed14.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed15.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed2.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed3.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed4.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed5.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed6.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed7.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed8.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeed9.jpg
c:documents and settingsAdminApplication DataAdSubscribeFeedfeed.xml
c:documents and settingsAdminApplication DataAdSubscribeFeedThumbs.db
c:documents and settingsAdminApplication DataAdSubscribeUninstall.exe
c:documents and settingsAdminApplication DataMicrosoftInternet ExplorerqsTAtsrv.dll
c:progra~1FieryAdsFiERyads.dll
c:program filesFieryAds
c:program filesFieryAdsCommLayer.dll
c:program filesFieryAdsFieryAds.dll
c:windowsdel.bat
c:windowssystem32Пузыри.scr
c:windowssystem32ssField Lines.scr
c:windowssystem32ssRibbons.scr
c:windowssystem32SYSINTERNALS_BLUESCREEN.SCR

.
((((((((((((((((((((((((( Files Created from 2010-09-28 to 2010-10-28 )))))))))))))))))))))))))))))))
.

2010-10-27 14:39 . 2010-10-27 14:39

d

w- c:program filestrend micro
2010-10-27 14:39 . 2010-10-27 14:39

d

w- C:rsit
2010-10-27 13:17 . 2010-10-27 13:17

d

w- c:windowssystem32wbemRepository

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 11:23 . 2008-07-05 13:26 67696 —-a-w- c:program filesmozilla firefoxcomponentsjar50.dll
2008-02-02 11:23 . 2008-07-05 13:26 54376 —-a-w- c:program filesmozilla firefoxcomponentsjsd3250.dll
2008-02-02 11:23 . 2008-07-05 13:26 34952 —-a-w- c:program filesmozilla firefoxcomponentsmyspell.dll
2008-02-02 11:23 . 2008-07-05 13:26 46720 —-a-w- c:program filesmozilla firefoxcomponentsspellchk.dll
2008-02-02 11:23 . 2008-07-05 13:26 172144 —-a-w- c:program filesmozilla firefoxcomponentsxpinstal.dll
.

Sigcheck

[-] 2008-03-15 . EDF9CAC3E377B61B2581E28CE810A7E0 . 360832 . . [5.1.2600.3244] . . c:windowssystem32driverstcpip.sys

[-] 2008-03-15 . 84C7654E3DE78F92A82BF7BA932752AA . 80216 . . [7.0.6000.381] . . c:windowssystem32wuauclt.exe

[-] 2008-03-15 . 196B409A7C1C39A5A0F7566C2741FAD1 . 578560 . . [5.1.2600.3099] . . c:windowssystem32user32.dll

[-] 2008-03-15 . C79D071054766FCC78077ABD022B287F . 1720832 . . [6.00.2900.3156] . . c:windowsexplorer.exe

[-] 2008-03-15 . 9E62E0CDEC5617D03A1598040E73A70B . 1548288 . . [5.1.2600.2180] . . c:windowssystem32sfcfiles.dll

[-] 2008-03-15 . 2A48AF162B14E978DA2373A2F693F4FD . 30208 . . [5.1.2600.2180] . . c:windowssystem32ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«avgnt»=»c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe» [2008-07-24 266497]
«HP Software Update»=»c:program filesHpHP Software UpdateHPWuSchd2.exe» [2007-05-08 54840]
«hpWirelessAssistant»=»c:program filesHewlett-PackardHP Wireless AssistantHPWAMain.exe» [2007-01-10 472776]
«Broadcom Wireless Manager UI»=»c:windowssystem32WLTRAY.exe» [2008-07-05 1871872]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-03-15 30208]
«VistaIcon»=»c:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-03-15 124928]
«IE7_012″=»advpack.dll» [2008-03-15 124928]

c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Microsoft Office.lnk — c:program filesMicrosoft OfficeOffice10OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^BTTray.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаBTTray.lnk
backup=c:windowspssBTTray.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаУскоренный запуск Adobe Reader.lnk
backup=c:windowspssУскоренный запуск Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregioCentre]
2007-04-13 11:04 61440 —-a-w- c:geniusioCentregTaskBar.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
2006-01-12 11:40 155648 —-a-w- c:windowssystem32NeroCheck.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP Internet Guardian]
2010-06-09 14:35 187904 —-a-w- c:documents and settingsAdminApplication DataQipGuardQipGuard.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQIP2005]
2009-08-13 07:43 3276288 —-a-w- c:program filesQIPqip.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregQlbCtrl.exe]
2008-02-26 04:36 177456 —-a-w- c:program filesHewlett-PackardHP Quick Launch ButtonsQLBCTRL.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSony Ericsson PC Suite]
2006-11-23 22:06 487424 —-a-r- c:program filesSony EricssonMobile2Application LauncherApplication Launcher.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSoundMAX]
2006-07-13 03:12 729088 —-a-w- c:program filesAnalog DevicesSoundMAXSMax4.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSoundMAXPnP]
2007-01-05 12:36 872448 —-a-w- c:program filesAnalog DevicesCoresmax4pnp.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregStartCCC]
2006-11-10 08:35 90112 —-a-w- c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSynTPEnh]
2008-01-18 07:04 1028096 —-a-w- c:program filesSynapticsSynTPSynTPEnh.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
2008-01-02 10:52 132096 —-a-w- c:program filesVistaDriveIconVistaDrv.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\WINDOWS\system32\mmc.exe»=
«c:\Program Files\Total Commander\Totalcmd.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\WINDOWS\system32\sessmgr.exe»=
«c:\Program Files\QIP\qip.exe»=

R2 SWIHPWMI;SWIHPWMI;c:program filesHPQSharedSierra WirelessWin32UnicodeSWIHPWMI.exe [04.12.2006 16:13 292384]
R3 gHidPnp;USB Device Enhanced Function Driver;c:windowssystem32driversgHidPnp.sys [05.07.2008 17:39 16384]
R3 gMouUsb;USB Mouse Device Drv;c:windowssystem32driversgMouUsb.sys [05.07.2008 17:39 9856]
S3 Com4QLBEx;Com4QLBEx;c:program filesHewlett-PackardHP Quick Launch ButtonsCom4QLBEx.exe [05.07.2008 21:33 193840]
S3 HP24X;HP PC Card Smart Card Reader;c:windowssystem32driversHP24X.sys [05.07.2008 23:10 33024]
S4 sptd;sptd;c:windowssystem32driverssptd.sys [05.07.2008 17:20 717296]
.
.

Supplementary Scan

.
uStart Page = hxxp://qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://dt-updates.com/activate?query=EqpK%2bwKD0EuXkdfqvoBWXL6AIaiZHGiVbs608DBzDJWVpNc%2bxcuH%2fMYUey5VOgbHMZMuWFskZSOD%2bv9I%2frJcNNk5e8SkuvtqpM2Gc0aw0m24V1LvyaIemo3hnMYnyAai4sQGtgm35jc5Q3rzYiCHOqpOIRNtZZwOvL8XXMmbIf9Hf%2fDolpv5QT8zK6DwWcuB2yTnyNHPMKiOr3y8jwGaTUkxT2b4%2bQjV3XMOC7ihdcXQ0r0L99wKU6ZkLvAlXtJ9qAZZd76%2f4a%2fdo%2fdz9YmPa4sytZE9KGEnJkyCIv2dL0c%3d
uSearchAssistant = hxxp://search.qip.ru/ie
IE: &Отправить на устройство Bluetooth… — c:program filesWIDCOMMBluetooth Softwarebtsendto_ie_ctx.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office10EXCEL.EXE/3000
FF — ProfilePath — c:documents and settingsAdminApplication DataMozillaFirefoxProfilesy7p0a65a.default
FF — prefs.js: browser.search.selectedEngine — Google
FF — prefs.js: browser.startup.homepage — hxxp://rambler.ru
FF — prefs.js: keyword.URL — hxxp://search.qip.ru/search?from=FF&query=
FF — component: c:progra~1MOZILL~1extensionstalkback@mozilla.orgcomponentsqfaservices.dll
FF — component: c:program filesMozilla Firefoxcomponentsxpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-28 17:42
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(680)
c:windowssystem32SETUPAPI.dll
c:windowssystem32Ati2evxx.dll
c:windowsSystem32BCMLogon.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll

— — — — — — — > ‘lsass.exe'(736)
c:windowssystem32setupapi.dll
.
Completion time: 2010-10-28 17:43:42
ComboFix-quarantined-files.txt 2010-10-28 13:43

Pre-Run: 34 470 608 896 байт свободно
Post-Run: 34 638 061 568 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
UnsupportedDebug=»do not select this» /debug
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /execute /fastdetect /usepmtimer

— — End Of File — — 6E6A827F8212D89A88E203EA81DF7942
Автор

Сообщения