Удаление вирусов и троянов. Защита компьютера. › Помощь в удалении вирусов, троянов, рекламы и других зловредов › Посмотрите лог.
- This topic has 12 ответов, 2 участника, and was last updated 16 years, 2 months назад by
Admin.
-
АвторСообщения
-
3 января, 2009 в 4:00 пп #16072
ComboFix 08-12-14.05 — R0N 2009-01-03 18:36:18.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2047.1640 [GMT 3:00]
Running from: d:documents and settingsR0NРабочий столCombofix(http://www.ho24me.ru)ComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
— REDUCED FUNCTIONALITY MODE —
.((((((((((((((((((((((((( Files Created from 2008-12-03 to 2009-01-03 )))))))))))))))))))))))))))))))
.2009-01-03 13:30 . 2009-01-03 13:30 36,864 —a
d:windowssystem3225796.exe
2009-01-03 13:10 . 2009-01-03 13:31d
d:program filesAntivirusXP2008
2009-01-03 13:09 . 2009-01-03 13:09 281,088 —a
d:documents and settingsAll UsersApplication Dataoallib.dll
2008-12-27 14:34 . 2008-12-30 13:28d
d:program filesMemSet
2008-12-27 14:34 . 2005-03-30 10:11 53,248 —a
d:windowsTVicPort.dll
2008-12-27 14:34 . 2007-03-12 16:35 16,080 —a
d:windowssystem32driversTVicPort64.sys
2008-12-27 14:34 . 2005-03-30 10:12 14,544 —a
d:windowssystem32driversTVicPort.sys
2008-12-25 11:37 . 2008-12-25 11:37d
d:documents and settingsR0NApplication DataLeadertech
2008-12-21 22:11 . 2008-12-21 22:11d
d:program filesMyCentria
2008-12-21 02:19 . 2008-12-21 02:19d
d:program filesGoogle
2008-12-18 21:24 . 2008-12-18 21:24d
d:program filesLizardTech
2008-12-18 12:53 . 2008-12-18 12:53d—s—- d:windowsCookies
2008-12-14 15:05 . 2008-12-14 15:05d
D:Documents and Settngsg
2008-12-09 16:46 . 2008-12-09 16:46d
d:documents and settingsR0NApplication DataICQ
2008-12-09 16:36 . 2008-12-09 16:36d
d:documents and settingsR0NApplication DataQIP
2008-12-09 16:35 . 2008-12-09 16:45d
d:program filesQIP Infium
2008-12-08 23:55 . 2008-12-08 23:55d
d:documents and settingsR0NApplication Data?Opera
2008-12-07 18:12 . 2008-12-07 18:12d
d:documents and settingsR0NApplication DataAdobeUM
2008-12-07 18:11 . 2008-12-07 18:11d
d:program filesCommon FilesAdobe.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 15:36 414,752 —sha-w d:windowssystem32driversfidbox2.dat
2009-01-03 15:36 16,776,736 —sha-w d:windowssystem32driversfidbox.dat
2009-01-03 15:34
d
w d:documents and settingsAll UsersApplication DataKaspersky Lab
2009-01-03 13:17 41,660 —sha-w d:windowssystem32driversfidbox2.idx
2009-01-03 13:17 223,196 —sha-w d:windowssystem32driversfidbox.idx
2009-01-03 10:09
d
w d:program filesOpera
2008-12-28 11:54 183,112 —-a-w d:windowssystem32PnkBstrB.exe
2008-12-28 11:54 138,184 —-a-w d:windowssystem32driversPnkBstrK.sys
2008-12-25 20:42 66,872 —-a-w d:windowssystem32PnkBstrA.exe
2008-12-25 09:26
d
w d:program filesCommon FilesWise Installation Wizard
2008-12-25 08:50
d
w d:documents and settingsR0NApplication DataInstallShield
2008-12-25 08:37
d—h—w d:program filesInstallShield Installation Information
2008-12-20 21:26
d
w d:documents and settingsAll UsersApplication DataCodemasters
2008-12-10 09:26
d
w d:program filesQIP
2008-12-02 17:34
d
w d:program filesBookReader V1.4.19
2008-11-21 09:31
d
w d:program filesLight Alloy
2008-11-20 20:07
d
w d:program filesVideoLAN
2008-11-20 20:05
d
w d:documents and settingsR0NApplication Datavlc
2008-11-12 22:14
d
w d:program filesReference Assemblies
2008-11-12 22:14
d
w d:program filesMSBuild
2008-11-12 22:10
d
w d:program filesMSXML 6.0
2008-11-09 18:23
d
w d:program filesAGEIA Technologies
2008-11-08 21:27 82,258 —-a-w d:windowssystem32driversklin.dat
2008-11-08 21:27 82,258 —-a-w d:windowssystem32driversklick.dat
2008-11-08 21:26
d
w d:program filesKaspersky Lab
2008-11-03 14:29
d
w d:program filesUbisoft
2008-09-11 19:43 22,328 —-a-w d:documents and settingsR0NApplication DataPnkBstrK.sys
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{F7303337-2AC6-4C19-9F8F-278ED8DB780E}]
2009-01-03 13:09 281088 —a
d:documents and settingsAll UsersApplication Dataoallib.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32ctfmon.exe» [2004-08-18 15360]
«H/PC Connection Agent»=»d:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«WinampAgent»=»d:program filesWinampWinampa.exe» [2002-04-26 12288]
«NvCplDaemon»=»d:windowssystem32NvCpl.dll» [2008-10-07 13574144]
«RTHDCPL»=»RTHDCPL.EXE» [2007-04-12 d:windowsRTHDCPL.exe]
«nwiz»=»nwiz.exe» [2008-10-07 d:windowssystem32nwiz.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2004-08-18 15360]d:documents and settingsR0Nѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Need for SpeedT Undercover — ॣЁбва жЁп.lnk — c:program filesEA GamesNeed for Speed UndercoverSupportEAregister.exe [2008-10-23 4369408][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
«Userinit»=»d:\WINDOWS\system32\userinit.exe,d:\DOCUME~1\R0N\LOCALS~1\Temp\init.exe»[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3acm»= l3codecp.acm
«msacm.l3codec»= l3codecp.acm[HKLM~startupfolderD:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=d:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Reader Speed Launch.lnk
backup=d:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderD:^Documents and Settings^R0N^Главное меню^Программы^Автозагрузка^Netall+DC.lnk]
path=d:documents and settingsR0NГлавное менюПрограммыАвтозагрузкаNetall+DC.lnk
backup=d:windowspssNetall+DC.lnkStartup[HKLM~startupfolderD:^Documents and Settings^R0N^Главное меню^Программы^Автозагрузка^OpenOffice.org 2.3.lnk]
path=d:documents and settingsR0NГлавное менюПрограммыАвтозагрузкаOpenOffice.org 2.3.lnk
backup=d:windowspssOpenOffice.org 2.3.lnkStartup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregComrade.exe]
—a
2007-06-29 14:03 36864 d:program filesGameSpyComradeComrade.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregDAEMON Tools]
—a
2007-08-16 14:24 167368 d:program filesDAEMON Toolsdaemon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregEA Core]
—a
2008-07-22 11:34 2772992 d:program filesElectronic ArtsEADMCore.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregH/PC Connection Agent]
—a
2006-11-13 16:21 1289000 d:program filesMicrosoft ActiveSyncwcescomm.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregmIRC Trion]
—a
2004-07-20 14:14 1990656 c:program filesmIRC_Trionmirc32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSMSGS]
2004-08-17 15:17 1667584 d:program filesMessengermsmsgs.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-10-07 13:33 13574144 d:windowssystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-10-07 13:33 86016 d:windowssystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRemoteControl]
—a
2004-11-02 19:24 32768 d:program filesCyberLinkPowerDVDPDVDServ.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSteam]
—a
2008-10-08 22:14 1410296 c:program filesSteamSteam.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregWinSys2]
-ra
2007-10-30 11:37 208896 d:windowssystem32WinSys2.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 13:43 69632 d:windowsAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-10-07 13:33 1630208 d:windowssystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:program filesMicrosoft ActiveSyncrapimgr.exe»= d:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«d:program filesMicrosoft ActiveSyncwcescomm.exe»= d:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«d:program filesMicrosoft ActiveSyncWCESMgr.exe»= d:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\1C\Spark Unlimited\Legendary\Binaries\Legendary.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR1 appdrv01;Application Driver (01);d:windowssystem32Driversappdrv01.sys [2008-08-26 2915944]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;d:windowssystem32DRIVERSatl01_xp.sys [2008-06-26 38656]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;d:windowssystem32DRIVERSklim5.sys [2007-04-04 24344]
S1 TVicPort64;TVicPort64;??d:windowsSysWOW64driversTVicPort64.sys []
S2 appdrvrem01;Application Driver Auto Removal Service (01);d:windowsSystem32appdrvrem01.exe svc []
S3 cpuz128;cpuz128;??d:docume~1R0NLOCALS~1Tempcpuz_x32.sys []
S3 GPU-Z;GPU-Z; []
S3 PortTalk;PortTalk;d:windowssystem32DriversPortTalk.sys [2008-11-16 3567][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8d5fe874-4993-11dd-bbfb-001d60a708cd}]
ShellAutoRuncommand — d:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycledctfmon.exe
ShellOpen(0)command — Recycledctfmon.exe
.
— — — — ORPHANS REMOVED — — — —MSConfigStartUp-ICQ Lite — d:program filesICQLiteICQLite.exe
MSConfigStartUp-ISUSPM — d:program filesCommon FilesInstallShieldUpdateServiceisuspm.exe
MSConfigStartUp-SunJavaUpdateSched — d:program filesJavajre1.6.0_02binjusched.exe.
Supplementary Scan
.
uStart Page = hxxp://start.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://ya.ru/
IE: &Экспорт в Microsoft Excel — d:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — d:program filesRambler AssistantramblertoolbarU0.dll/search.htm
IE: Опубликовать в Дневнике — d:program filesRambler AssistantramblertoolbarU0.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — d:program filesRambler AssistantramblertoolbarU0.dll/dic.htm
TCP: {7E743513-6398-4B5C-BA45-2A9C412FF10E} = 80.92.100.180,80.92.97.4d:windowsDownloaded Program FilesWMAcceptor.dll — O16 -: {463ED66E-431B-11D2-ADB0-0080C83DA4EB}
hxxps://w3s.webmoney.ru/WMAcceptor.dll
FF — ProfilePath — d:documents and settingsR0NApplication DataMozillaFirefoxProfiles42z617vv.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: network.proxy.type — 2
FF — plugin: d:program filesMozilla Firefoxpluginsnpdjvu.dll
FF — plugin: d:program filesOperaprogrampluginsnpdjvu.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 18:36:33
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(848)
d:program filesKaspersky LabKaspersky Anti-Virus 7.0miscr3.dll
d:windowssystem32klogon.dll— — — — — — — > ‘lsass.exe'(904)
d:program filesKaspersky LabKaspersky Anti-Virus 7.0dnsq.dll
d:program filesKaspersky LabKaspersky Anti-Virus 7.0miscr3.dll
.
Completion time: 2009-01-03 18:37:12
ComboFix-quarantined-files.txt 2009-01-03 15:37:07Pre-Run: 9 147 215 872 байт свободно
Post-Run: 9,150,849,024 байт свободно186
Еще такой вопрос, постоянно зависает, точнее не зависает а реагирует через пару минут оболочка ехplorer.exe когда закрываеш ие, очень бесит перезапускать ее каждый раз, может кто знает как от етого избавится?
3 января, 2009 в 5:03 пп #20756Здравствуйте, добро пожаловать на Spyware-ru форум.
Ваш компьютер заражён несколькими троянами, включая autorun.inf троян.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов. Скачайте и запустите Flash_Disinfector, не забудьте при этом по требованию программы вставить ваш флэш диск или подключить другие внешние устройства хранения информации.
Откройте блокнот (Кликните Пуск, Выполнить.В строке ввода введите notepad и нажмите Enter.) и вставьте в него следующий текст:
Driver::
cpuz128
GPU-Z
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{F7303337-2AC6-4C19-9F8F-278ED8DB780E}]
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogon]
"Userinit"="d:\WINDOWS\system32\userinit.exe,"
[-HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregWinSys2]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{8d5fe874-4993-11dd-bbfb-001d60a708cd}]
File::
d:windowssystem3225796.exe
d:documents and settingsAll UsersApplication Dataoallib.dll
d:Recycledctfmon.exe
Folder::
d:program filesAntivirusXP2008Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.3 января, 2009 в 5:28 пп #20757ComboFix 08-12-14.05 — R0N 2009-01-03 20:20:21.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2047.1591 [GMT 3:00]
Running from: d:documents and settingsR0NРабочий столCombofix(http://www.ho24me.ru)ComboFix.exe
Command switches used :: d:documents and settingsR0NРабочий столCFScript.txt
* Created a new restore point
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
— REDUCED FUNCTIONALITY MODE —FILE ::
d:documents and settingsAll UsersApplication Dataoallib.dll
d:recycledctfmon.exe
d:windowssystem3225796.exe
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.d:documents and settingsAll UsersApplication Dataoallib.dll
d:windowssystem3225796.exe.
((((((((((((((((((((((((( Files Created from 2008-12-03 to 2009-01-03 )))))))))))))))))))))))))))))))
.2008-12-27 14:34 . 2008-12-30 13:28
d
d:program filesMemSet
2008-12-27 14:34 . 2005-03-30 10:11 53,248 —a
d:windowsTVicPort.dll
2008-12-27 14:34 . 2007-03-12 16:35 16,080 —a
d:windowssystem32driversTVicPort64.sys
2008-12-27 14:34 . 2005-03-30 10:12 14,544 —a
d:windowssystem32driversTVicPort.sys
2008-12-25 11:37 . 2008-12-25 11:37d
d:documents and settingsR0NApplication DataLeadertech
2008-12-21 22:11 . 2008-12-21 22:11d
d:program filesMyCentria
2008-12-21 02:19 . 2008-12-21 02:19d
d:program filesGoogle
2008-12-18 21:24 . 2008-12-18 21:24d
d:program filesLizardTech
2008-12-18 12:53 . 2008-12-18 12:53d—s—- d:windowsCookies
2008-12-14 15:05 . 2008-12-14 15:05d
D:Documents and Settngsg
2008-12-09 16:46 . 2008-12-09 16:46d
d:documents and settingsR0NApplication DataICQ
2008-12-09 16:36 . 2008-12-09 16:36d
d:documents and settingsR0NApplication DataQIP
2008-12-09 16:35 . 2008-12-09 16:45d
d:program filesQIP Infium
2008-12-08 23:55 . 2008-12-08 23:55d
d:documents and settingsR0NApplication Data?Opera
2008-12-07 18:12 . 2008-12-07 18:12d
d:documents and settingsR0NApplication DataAdobeUM
2008-12-07 18:11 . 2008-12-07 18:11d
d:program filesCommon FilesAdobe.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 17:21 420,640 —sha-w d:windowssystem32driversfidbox2.dat
2009-01-03 17:21 16,927,264 —sha-w d:windowssystem32driversfidbox.dat
2009-01-03 17:14
d
w d:documents and settingsAll UsersApplication DataKaspersky Lab
2009-01-03 17:13 42,284 —sha-w d:windowssystem32driversfidbox2.idx
2009-01-03 17:13 229,364 —sha-w d:windowssystem32driversfidbox.idx
2009-01-03 10:09
d
w d:program filesOpera
2008-12-28 11:54 183,112 —-a-w d:windowssystem32PnkBstrB.exe
2008-12-28 11:54 138,184 —-a-w d:windowssystem32driversPnkBstrK.sys
2008-12-25 20:42 66,872 —-a-w d:windowssystem32PnkBstrA.exe
2008-12-25 09:26
d
w d:program filesCommon FilesWise Installation Wizard
2008-12-25 08:50
d
w d:documents and settingsR0NApplication DataInstallShield
2008-12-25 08:37
d—h—w d:program filesInstallShield Installation Information
2008-12-20 21:26
d
w d:documents and settingsAll UsersApplication DataCodemasters
2008-12-10 09:26
d
w d:program filesQIP
2008-12-02 17:34
d
w d:program filesBookReader V1.4.19
2008-11-21 09:31
d
w d:program filesLight Alloy
2008-11-20 20:07
d
w d:program filesVideoLAN
2008-11-20 20:05
d
w d:documents and settingsR0NApplication Datavlc
2008-11-12 22:14
d
w d:program filesReference Assemblies
2008-11-12 22:14
d
w d:program filesMSBuild
2008-11-12 22:10
d
w d:program filesMSXML 6.0
2008-11-09 18:23
d
w d:program filesAGEIA Technologies
2008-11-08 21:27 82,258 —-a-w d:windowssystem32driversklin.dat
2008-11-08 21:27 82,258 —-a-w d:windowssystem32driversklick.dat
2008-11-08 21:26
d
w d:program filesKaspersky Lab
2008-11-03 14:29
d
w d:program filesUbisoft
2008-09-11 19:43 22,328 —-a-w d:documents and settingsR0NApplication DataPnkBstrK.sys
.((((((((((((((((((((((((((((( snapshot@2009-01-03_18.36.42,62 )))))))))))))))))))))))))))))))))))))))))
.
— 2008-11-12 22:14:53 69,212 —-a-w d:windowssystem32perfc009.dat
+ 2009-01-03 15:44:33 69,212 —-a-w d:windowssystem32perfc009.dat
— 2008-11-12 22:14:53 82,002 —-a-w d:windowssystem32perfc019.dat
+ 2009-01-03 15:44:33 82,002 —-a-w d:windowssystem32perfc019.dat
— 2008-11-12 22:14:53 435,474 —-a-w d:windowssystem32perfh009.dat
+ 2009-01-03 15:44:33 435,474 —-a-w d:windowssystem32perfh009.dat
— 2008-11-12 22:14:53 479,198 —-a-w d:windowssystem32perfh019.dat
+ 2009-01-03 15:44:33 479,198 —-a-w d:windowssystem32perfh019.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32ctfmon.exe» [2004-08-18 15360]
«H/PC Connection Agent»=»d:program filesMicrosoft ActiveSyncwcescomm.exe» [2006-11-13 1289000][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«WinampAgent»=»d:program filesWinampWinampa.exe» [2002-04-26 12288]
«NvCplDaemon»=»d:windowssystem32NvCpl.dll» [2008-10-07 13574144]
«RTHDCPL»=»RTHDCPL.EXE» [2007-04-12 d:windowsRTHDCPL.exe]
«nwiz»=»nwiz.exe» [2008-10-07 d:windowssystem32nwiz.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2004-08-18 15360]d:documents and settingsR0Nѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Need for SpeedT Undercover — ॣЁбва жЁп.lnk — c:program filesEA GamesNeed for Speed UndercoverSupportEAregister.exe [2008-10-23 4369408][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3acm»= l3codecp.acm
«msacm.l3codec»= l3codecp.acm[HKLM~startupfolderD:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=d:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Reader Speed Launch.lnk
backup=d:windowspssAdobe Reader Speed Launch.lnkCommon Startup[HKLM~startupfolderD:^Documents and Settings^R0N^Главное меню^Программы^Автозагрузка^Netall+DC.lnk]
path=d:documents and settingsR0NГлавное менюПрограммыАвтозагрузкаNetall+DC.lnk
backup=d:windowspssNetall+DC.lnkStartup[HKLM~startupfolderD:^Documents and Settings^R0N^Главное меню^Программы^Автозагрузка^OpenOffice.org 2.3.lnk]
path=d:documents and settingsR0NГлавное менюПрограммыАвтозагрузкаOpenOffice.org 2.3.lnk
backup=d:windowspssOpenOffice.org 2.3.lnkStartup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregComrade.exe]
—a
2007-06-29 14:03 36864 d:program filesGameSpyComradeComrade.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregDAEMON Tools]
—a
2007-08-16 14:24 167368 d:program filesDAEMON Toolsdaemon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregEA Core]
—a
2008-07-22 11:34 2772992 d:program filesElectronic ArtsEADMCore.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregH/PC Connection Agent]
—a
2006-11-13 16:21 1289000 d:program filesMicrosoft ActiveSyncwcescomm.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregmIRC Trion]
—a
2004-07-20 14:14 1990656 c:program filesmIRC_Trionmirc32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMSMSGS]
2004-08-17 15:17 1667584 d:program filesMessengermsmsgs.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-10-07 13:33 13574144 d:windowssystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-10-07 13:33 86016 d:windowssystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRemoteControl]
—a
2004-11-02 19:24 32768 d:program filesCyberLinkPowerDVDPDVDServ.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSteam]
—a
2008-10-08 22:14 1410296 c:program filesSteamSteam.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 13:43 69632 d:windowsAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-10-07 13:33 1630208 d:windowssystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«d:program filesMicrosoft ActiveSyncrapimgr.exe»= d:program filesMicrosoft ActiveSyncrapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
«d:program filesMicrosoft ActiveSyncwcescomm.exe»= d:program filesMicrosoft ActiveSyncwcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
«d:program filesMicrosoft ActiveSyncWCESMgr.exe»= d:program filesMicrosoft ActiveSyncWCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
«c:\Program Files\1C\Spark Unlimited\Legendary\Binaries\Legendary.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«26675:TCP»= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync ServiceR1 appdrv01;Application Driver (01);d:windowssystem32Driversappdrv01.sys [2008-08-26 2915944]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;d:windowssystem32DRIVERSatl01_xp.sys [2008-06-26 38656]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;d:windowssystem32DRIVERSklim5.sys [2007-04-04 24344]
S1 TVicPort64;TVicPort64;??d:windowsSysWOW64driversTVicPort64.sys []
S2 appdrvrem01;Application Driver Auto Removal Service (01);d:windowsSystem32appdrvrem01.exe svc []
S3 cpuz128;cpuz128;??d:docume~1R0NLOCALS~1Tempcpuz_x32.sys []
S3 GPU-Z;GPU-Z; []
S3 PortTalk;PortTalk;d:windowssystem32DriversPortTalk.sys [2008-11-16 3567]
.
.
Supplementary Scan
.
uStart Page = hxxp://start.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://ya.ru/
IE: &Экспорт в Microsoft Excel — d:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — d:program filesRambler AssistantramblertoolbarU0.dll/search.htm
IE: Опубликовать в Дневнике — d:program filesRambler AssistantramblertoolbarU0.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — d:program filesRambler AssistantramblertoolbarU0.dll/dic.htm
TCP: {7E743513-6398-4B5C-BA45-2A9C412FF10E} = 80.92.100.180,80.92.97.4d:windowsDownloaded Program FilesWMAcceptor.dll — O16 -: {463ED66E-431B-11D2-ADB0-0080C83DA4EB}
hxxps://w3s.webmoney.ru/WMAcceptor.dll
FF — ProfilePath — d:documents and settingsR0NApplication DataMozillaFirefoxProfiles42z617vv.default
FF — prefs.js: browser.search.selectedEngine — Yandex
FF — prefs.js: network.proxy.type — 2
FF — plugin: d:program filesMozilla Firefoxpluginsnpdjvu.dll
FF — plugin: d:program filesOperaprogrampluginsnpdjvu.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 20:21:20
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(852)
d:program filesKaspersky LabKaspersky Anti-Virus 7.0miscr3.dll
d:windowssystem32klogon.dll— — — — — — — > ‘lsass.exe'(908)
d:program filesKaspersky LabKaspersky Anti-Virus 7.0dnsq.dll
d:program filesKaspersky LabKaspersky Anti-Virus 7.0miscr3.dll
.
Completion time: 2009-01-03 20:22:43
ComboFix-quarantined-files.txt 2009-01-03 17:22:40
ComboFix2.txt 2009-01-03 15:37:16Pre-Run: 9 218 621 440 байт свободно
Post-Run: 9,400,098,816 байт свободно193
5 января, 2009 в 5:23 дп #20758Выглядит нормально, как поживает компьютер ?
5 января, 2009 в 11:44 дп #20759ну оболочка так и падает, но это уже я так панимаю глюк винды=).
Вот вопрос нащет програмки 1ой, strong dc++, с локальной сети больше не работает ни поиск ни скачка
в прямом соединение, как будто фаервол или антивир, но ничего етого нету.5 января, 2009 в 1:44 пп #20760ну оболочка так и падает, но это уже я так панимаю глюк винды=).
Когда падает ? какое сообщение об ошибке ?
strong dc++, с локальной сети больше не работает ни поиск ни скачка
По поводу этой программы ничего сказать не могу, но нужно проверить все настройки. Возможно доступ блокирует встроенный в Windows брандмауэр (firewall).
Кроме этой программы, другие работают нормально с сетью ?5 января, 2009 в 2:12 пп #20761так с дц разабрался. Я изначально брендмаузер, обновление и центр безопасности отключал и запрещал вход в службах. Всего лишь стоило включить бренмаузер и снова выключить), дц заработало.
По поводу ехплолера, ошибки редко бывают просто зависает оболочка минуты на 3, не могу не чо тыкать на раб. столе пока не перезапущу explorer.exe.
Когда виснет с ошибкой стандартной) отправить не отправить отчет, появляется какой-то drnst чототам 32, который тоже виснит)
Имхо надо тупо абнавить виндоус, чего я сделать не могу))5 января, 2009 в 2:16 пп #20762А проблема с explorer`ом возникла давно ? или после заражения 3 января ?
5 января, 2009 в 2:18 пп #20763давно, возможно сразу после установки виндоус, это я за одно просто спросил…
5 января, 2009 в 4:15 пп #20764еще заметил, что в опере пропал звук, после комбофиха, видео во флеш паказывает, звука нет. оперу, флеш плеера менял, не помогает. в ие все пашет..
6 января, 2009 в 4:47 пп #20765Странная ситуация, но теоретически возможно, что combofix удалил подозрительный файл или привёл часть настроек оперы к настройкам по-умолчанию.
Если бы звука небыло и в ИЕ и в Опере, то нужно было бы копать в драйверах, а так остаётся только одно, проблема с флэш плеером или настройками.
Для Оперы и ИЕ нужны разные версии плеера. Попробуйте скачать версию для Оперы (это версия для Firefox) и установить.6 января, 2009 в 6:32 пп #20766так разобрался, со всем… спс, темку моно делет)
7 января, 2009 в 3:11 пп #20767так разобрался, со всем… спс
Прекрасно 🙂
темку моно делет
делет нельзя, всё это достояние общественности.
Никакой важной или личной информации в логах не содержится.Несколько завершающих действий.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Всего доброго!
-
АвторСообщения
- Для ответа в этой теме необходимо авторизоваться.