Удаление вирусов и троянов. Защита компьютера. › Помощь в удалении вирусов, троянов, рекламы и других зловредов › ТРИ антивируса не справляются… Прошу помощи:(
- This topic has 20 ответов, 4 участника, and was last updated 14 years, 3 months назад by Wiener Blut.
-
АвторСообщения
-
29 июля, 2010 в 3:38 дп #18484
Доброго времени суток всем!
Пожалуйста, помогите…
В таком отчаянии я нахожусь пожалуй, впервые в жизни.. Простите ради бога, что отнимаю, возможно лишнего времени…Пожалуйста, не отсылайте меня к правилам форума, и не спрашивайте, почему не приложен лог RSIT, дочитайте до конца этот длинный и возможно, немного сумбурный пост, поймете, почему я это ПОКА не сделала 🙁
В сложившейся ситуации я уже реально боюсь теперь что-то лишнее сделать и положить систему напрочь, как назло, щас срочная и важная работа на компе, а тут такое..кратко, по порядку..что это творится, я теперь уже ума не приложу.. я не ламер, за компом 12 лет, всю жизнь всегда береглась, ни один вирь не мог пробраться в мой домашний комп, и вот нате вам, ПЕРВЫЙ раз в жизни не убереглась.. стоит фаер макафи, автораны все в системе отключены, доктором вебом уже три года подряд пользуюсь, и всегда обычно этого хватало..до позавчерашнего дня, когда при поиске инфы в нете при загрузке страницы полезла куча левых страниц (даже не одна, а куча подряд), закрыть удалось с трудом и не сразу, вдогонку оттуда тут же прилетела атака-скан TCP порта, была, естественно, заблокирована вручную в фаере, да только видать было уже поздно.. через пару минут попросился в инет дрвеб, удивилась, но разрешила, потом опера начала проситься ежеминутно, не было времени сильно вдаваться в подробности, нужно было срочно доделывать работу, поэтому заподозрить неладное уже конкретно получилось тока после того, как после вынужденной перезагрузки – не захотел вдруг открываться элементарный адоб акробат, время поджимало, работы много, думаешь, «да что за фигня, все, в ребут сейчас же» — так вот после ребута обнаружилось, что опера снесена напрочь, и сразу же завопили свхосты и винлогоны о своем желании пойти погулять в инет … каюсь, по наивности несколько раз разрешила, потом уже задумалась, что здесь что-то уже конкретно нездоровое, работу пришлось таки бросить, запустить сканер веба, ткнуть ему диск С (быстрая проверка перед этим в процессах ничего не нашла), где он благополучно обнаружил для начала такой набор – Trojan.Muldrop, Trojan.Oficla, Trojan.Winlock…
Дожились, думаю… Поматюкавшись, переставив убитую оперу и скачав для надежности avz с последними базами, пройдя проверку им, обнаружилось, что у процесса веба наблюдается подмена имени, а также еще несколько приятных вещей в виде, например Trojan.DownLoader1.15800 и «подозрение на Rootkit.FreeBSD.Agent.d»…все уже не упомню…
Действительно, правильно говорят, что в уже зараженную систему ставить антивирусы практически бесполезно.. в общем, чтобы пост не получился уж слишком большим, ситуация ныне такова – по совету друга был вчера поставлен антивирус McAfee, одновременно с ним еще стоит заяц (веб снесен везде, кроме реестра, сама не рискую туда ходить) – так вот после его установки и обновления баз ситуация повторилась в точности, как при первом заражении – запрос в инет от антивиря — несанкционированные запросы от оперы (во время первой проверки им диска С и нахождения, кстати, аж 15 троянов, опознал он их большую часть, как Artemis!ы разных модификаций и парочку, как Generic) – так вот – после проверки перезагрузка — после перезагрузки – снесенная опера – свхост ломится в инет… заяц видит подмену имени теперь у common frameworknaprdmgr.exe, который по идее вроде бы как должен быть McAfee …
Все, – я ламер… я в шоке и панике, я реально не знаю, как с этим справиться, и прошу вашей помощи.. неужели кроме format C, ничто сейчас не поможет… это теперь мы уже, просидев ночь на форумах, изучив повнимательней лог фаервола, установив примерно, откуда «уши растут», и поняв, что своими руками позавчера в спешке из-за горящего срока сдачи работы добровольно активировали это НЕЧТО, – теперь мы уже хоть немного умные :(((( и теперь мы хоть что-то понимаем и видим, что у нас и свхост от имени админа висит в процессах и жрет 98% ресурсов, и как ни странно, cmd тоже от админа периодически грузит систему донельзя… и sequirity task manager у нас свежескачанный ругается очень сильно на один из 9 (!) свхостов… а еще мы уже не помним, на каком именно форуме наткнулись случайно на описание monoсa32 и вспомнили, что где-то у нас уж очень похожий подозрительный файлик вроде лежит, и заяц его даже читал прямым чтением, но не среагировал, и проехал мимо… в общем, теперь мы уже немного умные, и надо что-то пытаться делать сейчас, и на будущее продумать более действенные методы защиты от инет-атак… но вот что и как делать – мы пока что не знаем 🙁 и я прошу у вас помощи, не просто прошу, а умоляю… вопрос номер один главный — что мне нужно сделать сейчас первым, ПЕРЕД тем, как скачать RSIT и попытаться сделать ей проверку и выложить логи? McAfee при попытке скачать ее ловит в кеше оперы очередного трояна – это так надо? Наверно, удалить и McAfee, и зайца, и заткнуть фаервол временно (если еще получится)? дабы попытаться как можно более достоверную картину получить, и не наделать лишнего, не положить систему? 🙁 в ней творится реально уже черт-те что, и я просто реально начала бояться :((( плюс к тому возник уже очень живой чисто профессиональный интерес, что же это за такое НЕЧТО поселилось у меня, и где же это оно сидит, и ломает мне тут один антивирь за другим… и неужели я его не смогу победить без сноса системы, нееее, мы еще побарахтаемся, не выйдет…
Помогите, пожалуйста…что мне сейчас делать, с чего начать?:( я нуб, я растеряна, я в шоке и панике, в голове теперь полная каша после лазанья по форуму 🙁 здесь сейчас я не полностью все нюансы еще описала, и так уже пост очень длинный, но хотя бы для начала – что сейчас делать? Помогите…29 июля, 2010 в 5:27 дп #30311Здравствуйте!
Добро пожаловать на Spyware-ru форум.
Сделайте сканирование вашего компьютера программой RSIT,
— подробно описано как и что надо делать, в этой теме:
Как вылечить компьютер, первые шаги.Если первый вариант не получится, попробуйте сделать как описано ниже:
от Valeri
Скачайте сканер RSIT кликнув по этой ссылке, но в диалоге сохранения файла измените имя с RSIT.exe на iexplore.exe и сохраните файл на вашем рабочем столе.* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT(iexplore) пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Если они не будут показаны, то их можно найти в папке rsit на вашем системном диске.
29 июля, 2010 в 12:23 пп #30312Здравствуйте, CERBER
Спасибо за оперативный, хоть и стандартный ответ : )
Так как указаний относительно конкретного вопроса насчет RSIT и моих двух стоящих антивирей и фаервола не поступило, не стала ничего трогать и удалять, сделала все, соответственно описанному в теме «первые шаги». RSIT переименовывать не понадобилось. Логи прилагаю. Могу добавить только, что в результате вчерашних вечерне-ночных манипуляций с McAfee и AVZ сегодня после включения компьютера все стало еще хуже. Очень медленно работает интернет, а в фаерволе (фаервол тоже McAfee) во вкладке Activity Log появились два новеньких зелененьких Allowed Application Creation, один из Application — Framework Service, второй….monoca32.exe. Так что все еще печальнее, радует пожалуй, тока то, что один теперь уже опознан точно, как и думалось 🙁 что еще сидит параллельно с ним, предстоит узнать… жду дальнейших Ваших указаний, еще раз спасибо за оперативность:)29 июля, 2010 в 12:24 пп #30313Logfile of random’s system information tool 1.06 (written by random/random)
Run by Yana at 2010-07-29 15:54:31
Microsoft Windows XP Professional Service Pack 3
System drive C: has 22 GB (71%) free of 31 GB
Total RAM: 2021 MB (67% free)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:54:49, on 29.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
c:program filesidtintelxpv_v103wdmSTacSV.exe
C:WINDOWSExplorer.EXE
C:Program FilesIDTWDMsttray.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSsystem32igfxsrvc.exe
C:Program FilesNeroNero 7InCDInCD.exe
C:Program FilesNetwork AssociatesCommon Frameworkudaterui.exe
C:Program FilesCommon FilesNetwork AssociatesTalkBackTBMon.exe
C:Program FilesWebMoney Agentwmagent.exe
C:Program FilesTMetertrafmonitor.exe
C:Program FilesOO SoftwareDefragoodtray.exe
C:Program FilesCyberLinkPowerDVD9PDVD9Serv.exe
C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE
C:WINDOWSsystem32ctfmon.exe
C:Program FilesCommon FilesAheadLibNMBgMonitor.exe
C:Program FilesScreenMatesFelix IIFelix2.exe
C:Program FilesNokiaNokia PC Suite 6PCSync2.exe
C:Program FilesCommon FilesAheadLibNMIndexStoreSvr.exe
C:Program FilesNokiaNokia PC Suite 6PCSuite.exe
C:Program FilesuTorrentuTorrent.exe
C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFireSvc.exe
C:Program FilesNeroNero 7InCDInCDsrv.exe
C:Program FilesJavajre6binjqs.exe
C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFireTray.exe
C:Program FilesMcAfeeVirusScan EnterpriseEngineServer.exe
C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:WINDOWSsystem32mfevtps.exe
C:Program FilesOO SoftwareDefragoodag.exe
C:Program FilesTMeterTrafSvc.exe
C:WINDOWSsystem32wdfmgr.exe
C:Program FilesNetwork AssociatesCommon FrameworknaPrdMgr.exe
C:Program FilesNetwork AssociatesCommon FrameworkMcTray.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:WINDOWSSystem32alg.exe
C:Program FilesPC Connectivity SolutionTransportsNclUSBSrv.exe
C:Program FilesPC Connectivity SolutionTransportsNclRSSrv.exe
C:Program FilesCommon FilesAheadLibNMIndexingService.exe
C:Program FilesOpera 9Opera.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan Enterprisemfeann.exe
C:Documents and SettingsYanaDesktopRSIT.exe
C:WINDOWSsystem32wbemwmiprvse.exe
C:Program Filestrend microYana.exeR1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://search.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://search.qip.ru
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = start.qip.ru
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://search.qip.ru/ie
R1 — HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R3 — URLSearchHook: QIPBHO Class — {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll
R3 — URLSearchHook: QIPBHO Class — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll
R3 — URLSearchHook: (no name) — — (no file)
F2 — REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32c341c87a.exe,C:WINDOWSsystem32ddc4e57d.exe,
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: scriptproxy — {7DB2D5A0-7241-4E79-B68D-6309F01C5231} — C:Program FilesMcAfeeVirusScan Enterprisescriptsn.dll
O2 — BHO: QIPBHO — {95289393-33EA-4F8D-B952-483415B9C955} — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll
O2 — BHO: QIPBHO — {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll
O2 — BHO: TBSB03223 — {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — C:Program FilesWebMoney Advisorwmadvisor.dll
O2 — BHO: Java(tm) Plug-In 2 SSV Helper — {DBC80044-A445-435b-BC74-9C25C1C588A9} — C:Program FilesJavajre6binjp2ssv.dll
O2 — BHO: JQSIEStartDetectorImpl — {E7E6F031-17CE-4C07-BC86-EABFE594F69C} — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll
O3 — Toolbar: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O4 — HKLM..Run: [SysTrayApp] %ProgramFiles%IDTWDMsttray.exe
O4 — HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 — HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 — HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 — HKLM..Run: [NeroFilterCheck] C:Program FilesCommon FilesAheadLibNeroCheck.exe
O4 — HKLM..Run: [InCD] C:Program FilesNeroNero 7InCDInCD.exe
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesNetwork AssociatesCommon Frameworkudaterui.exe» /StartedFromRunKey
O4 — HKLM..Run: [Network Associates Error Reporting Service] «C:Program FilesCommon FilesNetwork AssociatesTalkBackTBMon.exe»
O4 — HKLM..Run: [McAfeeFireTray] C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFiretray.exe
O4 — HKLM..Run: [wmagent.exe] «C:Program FilesWebMoney Agentwmagent.exe»
O4 — HKLM..Run: [TrafMonitor] C:Program FilesTMetertrafmonitor.exe /logon /admin
O4 — HKLM..Run: [SunJavaUpdateSched] «C:Program FilesJavajre6binjusched.exe»
O4 — HKLM..Run: [OODefragTray] C:Program FilesOO SoftwareDefragoodtray.exe
O4 — HKLM..Run: [RemoteControl9] «C:Program FilesCyberLinkPowerDVD9PDVD9Serv.exe»
O4 — HKLM..Run: [PDVD9LanguageShortcut] «C:Program FilesCyberLinkPowerDVD9LanguageLanguage.exe»
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] «C:Program FilesCommon FilesAheadLibNMBgMonitor.exe»
O4 — HKCU..Run: [Felix II] C:Program FilesScreenMatesFelix IIFelix2.exe
O4 — HKCU..Run: [Nokia.PCSync] «C:Program FilesNokiaNokia PC Suite 6PCSync2.exe» /NoDialog
O4 — HKCU..Run: [PC Suite Tray] «C:Program FilesNokiaNokia PC Suite 6PCSuite.exe» -onlytray
O4 — HKCU..Run: [Shell] C:Documents and SettingsAll Userssystems.exe
O4 — HKCU..Run: [QIP2005] C:Program FilesQIPqip.exe
O4 — HKCU..Run: [uTorrent] «C:Program FilesuTorrentuTorrent.exe»
O4 — HKCU..PoliciesExplorerRun: [Secure Star] C:WINDOWSsystem32sidebar32.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Startup: monoca32.exe
O4 — Startup: Total Commander.lnk = ?
O4 — Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 — Global Startup: Ускоренный запуск Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000
O9 — Extra button: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra ‘Tools’ menuitem: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: QIP 2005 — {1EF681F7-A04B-4D6D-9012-A307CCA55610} — C:Program FilesQIPqip.exe (HKCU)
O16 — DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) — https://w3s.webmoney.ru/WMAcceptor.dll
O17 — HKLMSystemCCSServicesTcpip..{C5A22B45-A6CE-4ECD-972C-9E778AD42644}: NameServer = 10.59.3.19
O23 — Service: Adobe LM Service — Unknown owner — C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 — Service: McAfee Desktop Firewall Service (FireSvc) — McAfee, Inc. — C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFireSvc.exe
O23 — Service: InCD Helper (InCDsrv) — Nero AG — C:Program FilesNeroNero 7InCDInCDsrv.exe
O23 — Service: Java Quick Starter (JavaQuickStarterService) — Sun Microsystems, Inc. — C:Program FilesJavajre6binjqs.exe
O23 — Service: McAfee Engine Service (McAfeeEngineService) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseEngineServer.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: McAfee Validation Trust Protection Service (mfevtp) — McAfee, Inc. — C:WINDOWSsystem32mfevtps.exe
O23 — Service: NBService — Nero AG — C:Program FilesNeroNero 7Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesAheadLibNMIndexingService.exe
O23 — Service: O&O Defrag — O&O Software GmbH — C:Program FilesOO SoftwareDefragoodag.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Audio Service (STacSV) — IDT, Inc. — c:program filesidtintelxpv_v103wdmSTacSV.exe
O23 — Service: TMeter 6.4.385 (TrafSvc) — Unknown owner — C:Program FilesTMeterTrafSvc.exe—
End of file — 11370 bytes======Registry dump======
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll [2004-12-14 63136][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7DB2D5A0-7241-4E79-B68D-6309F01C5231}]
scriptproxy — C:Program FilesMcAfeeVirusScan Enterprisescriptsn.dll [2010-03-25 67120][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{95289393-33EA-4F8D-B952-483415B9C955}]
QIPBHO Class — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2009-07-14 150768][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}]
QIPBHO Class — C:Documents and SettingsYanaApplication DataMicrosoftInternet Explorerqipsearchbar.dll [2009-07-14 150768][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
TBSB03223 Class — C:Program FilesWebMoney Advisorwmadvisor.dll [2008-09-05 2409472][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper — C:Program FilesJavajre6binjp2ssv.dll [2009-11-16 41760][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class — C:Program FilesJavajre6libdeployjqsiejqs_plugin.dll [2009-11-16 73728][HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — WebMoney Advisor — C:Program FilesWebMoney Advisorwmadvisor.dll [2008-09-05 2409472][HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
«SysTrayApp»=C:Program FilesIDTWDMsttray.exe [2009-03-12 483422]
«IgfxTray»=C:WINDOWSsystem32igfxtray.exe [2008-12-18 150040]
«HotKeysCmds»=C:WINDOWSsystem32hkcmd.exe [2008-12-18 178712]
«Persistence»=C:WINDOWSsystem32igfxpers.exe [2008-12-18 150040]
«NeroFilterCheck»=C:Program FilesCommon FilesAheadLibNeroCheck.exe [2006-01-12 155648]
«InCD»=C:Program FilesNeroNero 7InCDInCD.exe [2006-12-08 1053184]
«McAfeeUpdaterUI»=C:Program FilesNetwork AssociatesCommon Frameworkudaterui.exe [2009-08-25 136512]
«Network Associates Error Reporting Service»=C:Program FilesCommon FilesNetwork AssociatesTalkBackTBMon.exe [2004-02-19 147514]
«McAfeeFireTray»=C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFiretray.exe [2006-07-20 655427]
«wmagent.exe»=C:Program FilesWebMoney Agentwmagent.exe [2009-10-19 210400]
«TrafMonitor»=C:Program FilesTMetertrafmonitor.exe [2006-01-28 200704]
«SunJavaUpdateSched»=C:Program FilesJavajre6binjusched.exe [2009-11-16 149280]
«OODefragTray»=C:Program FilesOO SoftwareDefragoodtray.exe [2009-09-12 2524416]
«RemoteControl9″=C:Program FilesCyberLinkPowerDVD9PDVD9Serv.exe [2009-02-16 87336]
«PDVD9LanguageShortcut»=C:Program FilesCyberLinkPowerDVD9LanguageLanguage.exe [2008-10-13 50472]
«ShStatEXE»=C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE [2010-03-25 124224][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=C:WINDOWSsystem32ctfmon.exe [2008-04-14 15360]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=C:Program FilesCommon FilesAheadLibNMBgMonitor.exe [2007-01-15 147456]
«Felix II»=C:Program FilesScreenMatesFelix IIFelix2.exe [2009-11-16 958464]
«Nokia.PCSync»=C:Program FilesNokiaNokia PC Suite 6PCSync2.exe [2008-03-26 1232896]
«PC Suite Tray»=C:Program FilesNokiaNokia PC Suite 6PCSuite.exe [2008-04-16 1079808]
«Shell»=C:Documents and SettingsAll Userssystems.exe []
«QIP2005″=C:Program FilesQIPqip.exe [2009-08-13 3276288]
«uTorrent»=C:Program FilesuTorrentuTorrent.exe [2010-05-31 322352][HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
«Secure Star»=C:WINDOWSsystem32sidebar32.exe [2008-04-14 113792]C:Documents and SettingsAll UsersStart MenuProgramsStartup
Adobe Gamma Loader.lnk — C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
Ускоренный запуск Adobe Reader.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exeC:Documents and SettingsYanaStart MenuProgramsStartup
monoca32.exe
Total Commander.lnk — C:Program FilesTotal CommanderTotalcmd.exe[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyigfxcui]
C:WINDOWSsystem32igfxdev.dll [2008-12-12 217088][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
«dontdisplaylastusername»=0
«legalnoticecaption»=
«legalnoticetext»=
«shutdownwithoutlogon»=1
«undockwithoutlogon»=1[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=145[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesexplorer]
«NoDriveTypeAutoRun»=[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»
«C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe»=»C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe:*:Enabled:McAfee Framework Service»
«C:Program FilesuTorrentuTorrent.exe»=»C:Program FilesuTorrentuTorrent.exe:*:Enabled:µTorrent»
«C:WINDOWSsystem32svchost.exe»=»C:WINDOWSsystem32svchost.exe:*:Enabled:Secure Star»[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
«%windir%system32sessmgr.exe»=»%windir%system32sessmgr.exe:*:enabled:@xpsp2res.dll,-22019»
«%windir%Network Diagnosticxpnetdiag.exe»=»%windir%Network Diagnosticxpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000»======List of files/folders created in the last 1 months======
2010-07-29 15:54:32 —-D—- C:Program Filestrend micro
2010-07-29 15:54:31 —-D—- C:rsit
2010-07-29 00:14:49 —-D—- C:Documents and SettingsAll UsersApplication DataSecTaskMan
2010-07-29 00:14:45 —-D—- C:Program FilesSecurity Task Manager
2010-07-28 21:38:29 —-D—- C:QUARANTINE
2010-07-28 21:21:55 —-A—- C:WINDOWSsystem32mfevtps.exe
2010-07-28 21:21:47 —-D—- C:Documents and SettingsAll UsersApplication DataMcAfee
2010-07-28 21:21:04 —-D—- C:Program FilesMcAfee
2010-07-28 21:21:04 —-D—- C:Program FilesCommon FilesMcAfee
2010-07-28 21:08:36 —-D—- C:Program FilesDrWeb
2010-07-27 21:33:30 —-D—- C:Documents and SettingsYanaApplication DataOpera
2010-07-27 21:33:18 —-D—- C:Program FilesOpera 9
2010-07-26 16:55:05 —-A—- C:WINDOWSsystem32fjhdyfhsn.bat
2010-07-25 00:55:26 —-D—- C:Program FilesSpeedFan
2010-07-18 17:59:48 —-D—- C:Program FilesRecuva
2010-07-14 18:20:11 —-D—- C:Program FilesPDF Sorter
2010-07-12 23:01:34 —-D—- C:Documents and SettingsYanaApplication DataACD Systems
2010-07-12 23:00:56 —-D—- C:Documents and SettingsAll UsersApplication DataACD Systems
2010-07-12 22:59:59 —-A—- C:WINDOWSsystem32ekfpixpsets.dll
2010-07-12 22:59:59 —-A—- C:WINDOWSsystem32ekfpixjpeg.dll
2010-07-12 22:59:59 —-A—- C:WINDOWSsystem32ekfpixio130.dll
2010-07-12 22:59:58 —-A—- C:WINDOWSsystem32ekfpixguid.dll
2010-07-12 22:59:58 —-A—- C:WINDOWSsystem32ekfpixexif.dll
2010-07-12 22:59:58 —-A—- C:WINDOWSsystem32ekfpixaudio.dll
2010-07-12 22:59:58 —-A—- C:WINDOWSsystem32DC265.dll
2010-07-12 22:59:57 —-A—- C:WINDOWSsystem32F210.dll
2010-07-12 22:59:57 —-A—- C:WINDOWSsystem32DC240.dll
2010-07-12 22:59:57 —-A—- C:WINDOWSsystem32DC210.dll
2010-07-12 22:59:51 —-A—- C:WINDOWSsystem32lwf214p.dll
2010-07-12 22:59:51 —-A—- C:WINDOWSsystem32ldf252.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgst500.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgpl500.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgme500.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgid500.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgdw500.dll
2010-07-12 22:59:49 —-A—- C:WINDOWSsystem32Jgar500.dll
2010-07-12 22:59:48 —-A—- C:WINDOWSsystem32Roboex32.dll
2010-07-12 22:59:46 —-D—- C:Program FilesACD Systems
2010-07-12 22:14:30 —-D—- C:Program FilesIrfanView
2010-07-12 21:00:37 —-D—- C:Program FilesAlee Software======List of files/folders modified in the last 1 months======
2010-07-29 15:54:47 —-D—- C:WINDOWSPrefetch
2010-07-29 15:54:41 —-D—- C:Temp
2010-07-29 15:54:32 —-RD—- C:Program Files
2010-07-29 15:53:41 —-D—- C:Documents and SettingsYanaApplication DatauTorrent
2010-07-29 15:32:52 —-D—- C:WINDOWSsystem32CatRoot2
2010-07-29 09:32:08 —-A—- C:WINDOWSSchedLgU.Txt
2010-07-29 04:52:41 —-D—- C:WINDOWSsystem32drivers
2010-07-28 23:02:16 —-D—- C:Program FilesTotal Commander
2010-07-28 22:43:18 —-D—- C:WINDOWSsystem32
2010-07-28 21:53:04 —-D—- C:Program FilesVeryPDF PDF2Word v3.0
2010-07-28 21:22:15 —-SHD—- C:WINDOWSInstaller
2010-07-28 21:22:15 —-D—- C:WINDOWS
2010-07-28 21:21:04 —-D—- C:Program FilesCommon Files
2010-07-28 21:08:36 —-HD—- C:Program FilesInstallShield Installation Information
2010-07-28 21:04:18 —-D—- C:WINDOWSRegistration
2010-07-28 19:55:11 —-A—- C:WINDOWSNeroDigital.ini
2010-07-27 23:43:03 —-D—- C:Program FilesInternet Explorer
2010-07-27 17:44:44 —-D—- C:Documents and SettingsYanaApplication DataAdobe
2010-07-27 17:44:44 —-D—- C:Documents and SettingsAll UsersApplication DataAdobe
2010-07-27 16:09:50 —-HD—- C:WINDOWSinf
2010-07-27 16:09:46 —-D—- C:Program FilesMSN
2010-07-27 13:08:34 —-D—- C:Program FilesWebMoney
2010-07-26 16:56:28 —-D—- C:WINDOWSsystem32config
2010-07-19 00:00:25 —-D—- C:WINDOWSsystem32oodag
2010-07-18 19:52:36 —-D—- C:WINDOWSTemp
2010-07-12 22:10:55 —-D—- C:Documents and SettingsYanaApplication DataXnView======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 FireHook;McAfee Desktop Firewall; ??C:WINDOWSsystem32DriversFirehk5x.sys []
R1 FireTDI;McAfee Desktop Firewall TDI Driver; ??C:WINDOWSsystem32DriversFireTDI.sys []
R1 InCDPass;InCDPass; C:WINDOWSsystem32driversInCDPass.sys [2006-12-08 31488]
R1 incdrm;InCD Reader; C:WINDOWSsystem32driversInCDRm.sys [2006-12-08 33792]
R1 intelppm;Intel Processor Driver; C:WINDOWSsystem32DRIVERSintelppm.sys [2008-04-14 36352]
R1 mfetdik;McAfee Inc. mfetdik; C:WINDOWSsystem32driversmfetdik.sys [2010-03-25 64208]
R1 PQNTDrv;PQNTDrv; C:WINDOWSsystem32driversPQNTDrv.sys [2002-09-16 4228]
R1 uziyodgx;AVZ-RK Kernel Driver; ??C:WINDOWSsystem32Driversuziyodgx.sys []
R3 e1express;Intel(R) PRO/1000 PCI Express Network Connection Driver; C:WINDOWSsystem32DRIVERSe1e5132.sys [2008-12-04 241296]
R3 firelm01;firelm01; ??C:WINDOWSsystem32driversfirelm01.sys []
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:WINDOWSsystem32DRIVERSHDAudBus.sys [2008-04-13 144384]
R3 HECI;Intel(R) Management Engine Interface; C:WINDOWSsystem32DRIVERSHECI.sys [2007-07-09 44416]
R3 ialm;ialm; C:WINDOWSsystem32DRIVERSigxpmp32.sys [2008-12-12 6048768]
R3 mfeavfk;McAfee Inc. mfeavfk; C:WINDOWSsystem32driversmfeavfk.sys [2010-03-25 91832]
R3 mfebopk;McAfee Inc. mfebopk; C:WINDOWSsystem32driversmfebopk.sys [2010-03-25 43288]
R3 pcouffin;VSO Software pcouffin; C:WINDOWSSystem32Driverspcouffin.sys [2009-11-16 47360]
R3 STHDA;IDT High Definition Audio CODEC; C:WINDOWSsystem32driverssthda.sys [2009-03-12 1550613]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:WINDOWSsystem32DRIVERSusbehci.sys [2008-04-14 30208]
R3 usbhub;USB2 Enabled Hub; C:WINDOWSsystem32DRIVERSusbhub.sys [2008-04-14 59520]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:WINDOWSsystem32DRIVERSusbuhci.sys [2008-04-14 20608]
R4 InCDfs;InCD File System; C:WINDOWSsystem32driversInCDFs.sys [2006-12-08 103936]
S1 TMeter;TMeter; C:WINDOWSsystem32driversTMeter.sys [2005-03-22 15716]
S3 Arp1394;1394 ARP Client Protocol; C:WINDOWSsystem32DRIVERSarp1394.sys [2008-04-14 60800]
S3 mferkdet;McAfee Inc. mferkdet; C:WINDOWSsystem32driversmferkdet.sys [2010-03-25 66600]
S3 NIC1394;1394 Net Driver; C:WINDOWSsystem32DRIVERSnic1394.sys [2008-04-14 61824]
S3 nmwcd;Nokia USB Phone Parent; C:WINDOWSsystem32driversccdcmb.sys [2007-11-29 16896]
S3 nmwcdc;Nokia USB Generic; C:WINDOWSsystem32driversccdcmbo.sys [2007-11-29 19328]
S3 pccsmcfd;PCCS Mode Change Filter Driver; C:WINDOWSsystem32DRIVERSpccsmcfd.sys [2007-09-17 21632]
S3 upperdev;upperdev; C:WINDOWSsystem32DRIVERSusbser_lowerflt.sys [2007-11-29 8064]
S3 usbser;Nokia USB Serial Port; C:WINDOWSsystem32DRIVERSusbser.sys [2008-04-14 26112]
S3 UsbserFilt;UsbserFilt; C:WINDOWSsystem32DRIVERSusbser_lowerfltj.sys [2007-11-29 8064]
S3 USBSTOR;USB Mass Storage Driver; C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2008-04-14 26368]
S3 Wdf01000;Wdf01000; C:WINDOWSsystem32DRIVERSWdf01000.sys [2006-11-02 492000]
S4 IntelIde;IntelIde; C:WINDOWSsystem32driversIntelIde.sys []
S4 WS2IFSL;Среда Windows Socket 2.0 поддержки поставщиков не-IFS служб; C:WINDOWSSystem32driversws2ifsl.sys [2001-08-23 12032]======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 FireSvc;McAfee Desktop Firewall Service; C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFireSvc.exe [2006-07-20 766018]
R2 InCDsrv;InCD Helper; C:Program FilesNeroNero 7InCDInCDsrv.exe [2006-12-08 1072640]
R2 JavaQuickStarterService;Java Quick Starter; C:Program FilesJavajre6binjqs.exe [2009-11-16 153376]
R2 McAfeeEngineService;McAfee Engine Service; C:Program FilesMcAfeeVirusScan EnterpriseEngineServer.exe [2010-03-25 22816]
R2 McAfeeFramework;McAfee Framework Service; C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe [2009-08-25 103744]
R2 McShield;McAfee McShield; C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe [2010-03-25 147472]
R2 McTaskManager;McAfee Task Manager; C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe [2010-03-25 66880]
R2 mfevtp;McAfee Validation Trust Protection Service; C:WINDOWSsystem32mfevtps.exe [2010-03-25 70728]
R2 O&O Defrag;O&O Defrag; C:Program FilesOO SoftwareDefragoodag.exe [2009-09-12 1488128]
R2 STacSV;Audio Service; c:program filesidtintelxpv_v103wdmSTacSV.exe [2009-03-12 254036]
R2 TrafSvc;TMeter 6.4.385; C:Program FilesTMeterTrafSvc.exe [2006-01-28 307200]
R2 UMWdf;Windows User Mode Driver Framework; C:WINDOWSsystem32wdfmgr.exe [2004-08-11 38912]
R3 NMIndexingService;NMIndexingService; C:Program FilesCommon FilesAheadLibNMIndexingService.exe [2007-01-15 266240]
R3 ServiceLayer;ServiceLayer; C:Program FilesPC Connectivity SolutionServiceLayer.exe [2008-04-07 430592]
S3 Adobe LM Service;Adobe LM Service; C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe [2009-11-15 68096]
S3 aspnet_state;ASP.NET State Service; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe [2005-09-23 66240]
S3 NBService;NBService; C:Program FilesNeroNero 7Nero BackItUpNBService.exe [2007-01-15 774144]
S3 ose;Office Source Engine; C:Program FilesCommon FilesMicrosoft SharedSource EngineOSE.EXE [2003-07-28 89136]
EOF
29 июля, 2010 в 12:25 пп #30314info.txt logfile of random’s system information tool 1.06 2010-07-29 15:54:50
======Uninstall list======
—>C:Program FilesNeroNero 7\nerouninstallUNNERO.exe /UNINSTALL
—>C:WINDOWSNuNInst.exe /UNINSTALL
—>C:WINDOWSUNNeroBackItUp.exe /UNINSTALL
—>C:WINDOWSUNNeroMediaHome.exe /UNINSTALL
—>C:WINDOWSUNNeroShowTime.exe /UNINSTALL
—>C:WINDOWSUNNeroVision.exe /UNINSTALL
—>C:WINDOWSUNRecode.exe /UNINSTALL
—>MsiExec.exe /I{403EF592-953B-4794-BCEF-ECAB835C2095}
—>rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:WINDOWSINFPCHealth.inf
µTorrent—>»C:Program FilesuTorrentuTorrent.exe» /UNINSTALL
ABBYY FineReader 8.0 Professional Edition—>MsiExec.exe /I{AAF80000-22B9-4CE9-98D6-2CCF359BAC07}
ACDSee—>C:PROGRA~1ACDSYS~1ACDSeeUNWISE.EXE C:PROGRA~1ACDSYS~1ACDSeeINSTALL.LOG
Adobe Flash Player 10 ActiveX—>C:WINDOWSsystem32MacromedFlashuninstall_activeX.exe
Adobe Flash Player 10 Plugin—>C:WINDOWSsystem32MacromedFlashuninstall_plugin.exe
Adobe Photoshop CS—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime701Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{EFB21DE7-8C19-4A88-BB28-A766E16493BC}SETUP.EXE» -l0x9
Adobe Photoshop CS4 для начинающих—>C:Program FilesAdobe Photoshop CS4 для начинающихuninstall.exe
Adobe Reader 7.0 — Russian—>MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A70000000000}
Alee Document PDF Sorter 1.6.3—>C:Program FilesPDF Sorteruninstall.exe
ConvertXtoDVD 3.2.0.49—>»C:Program FilesVSOConvertX3unins000.exe»
CyberLink PowerDVD 9—>»C:Program FilesInstallShield Installation Information{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}setup.exe» /z-uninstall
CyberLink PowerDVD 9—>»C:Program FilesInstallShield Installation Information{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}setup.exe» /z-uninstall
eMusic — 50 Free MP3 offer—>»C:Program FilesWinampeMusicUninst-eMusic-promotion.exe»
Eye Corrector—>C:Program FilesEye Correctoruninstall.exe
High Definition Audio Driver Package — KB888111—>»C:WINDOWS$NtUninstallKB888111WXPSP2$spuninstspuninst.exe»
HijackThis 2.0.2—>»C:Program Filestrend microHijackThis.exe» /uninstall
Intel(R) Graphics Media Accelerator Driver—>C:WINDOWSsystem32igxpun.exe -uninstall
Intel(R) Integrator Toolkit—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1engine6INTEL3~1Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{A67B3991-7226-404B-B5F6-71962D3F2376}Setup.exe»
Intel(R) Management Engine Interface—>C:WINDOWSsystem32heciudlg.exe -uninstall
Intel(R) Network Connections 13.5.32.0—>MsiExec.exe /i{777AD08E-B32A-4456-AFE1-094DBECEB268} ARPREMOVE=1
IrfanView (remove only)—>C:Program FilesIrfanViewiv_uninstall.exe
Java(TM) 6 Update 16—>MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
McAfee Agent—>MsiExec.exe /X{AA951B10-7089-4D60-B288-516E641F48E6}
McAfee AntiSpyware Enterprise Module—>»C:Program FilesMcAfeeVirusScan Enterprisescan32.exe» /UninstallMAS
McAfee Desktop Firewall 8.5—>»C:Program FilesNetwork AssociatesMcAfee Desktop Firewall for Windows XPMcAfeefire.exe» addremove
McAfee VirusScan Enterprise—>MsiExec.exe /I{147BCE03-C0F1-4C9F-8157-6A89B6D2D973}
Microsoft .NET Framework 2.0—>C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Microsoft .NET Framework 2.0install.exe
Microsoft Bootvis—>MsiExec.exe /I{0F9196C6-58B4-445B-B56E-B1200FECC151}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5—>»C:WINDOWS$NtUninstallWdf01005$spuninstspuninst.exe»
Microsoft Office — профессиональный выпуск версии 2003—>MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable—>MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
MSVC80_x86—>MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
Nero 7 Premium—>MsiExec.exe /I{FC98FBE9-E931-494C-8717-497185371049}
Nokia Connectivity Cable Driver—>MsiExec.exe /X{4F1DCA42-2030-437C-A94E-736692A499C1}
Nokia PC Suite—>C:Documents and SettingsAll UsersApplication DataInstallations{9C05FA75-0337-4523-AA57-9D3511018887}Nokia_PC_Suite_rel_6_86_9_3_rus_web.exe
Nokia PC Suite—>MsiExec.exe /I{9C05FA75-0337-4523-AA57-9D3511018887}
O&O Defrag Professional—>MsiExec.exe /I{ED6C5ECD-5AA4-4054-BF67-8F49526E5765}
Opera 9—>C:PROGRA~1OPERA9~1uninstunwise.exe C:PROGRA~1OPERA9~1uninstinstall.log
PC Connectivity Solution—>MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
PowerQuest PartitionMagic 8.0—>C:PROGRA~1COMMON~1INSTAL~1Driver7INTEL3~1IDriver.exe /M{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}
Recuva—>»C:Program FilesRecuvauninst.exe»
Reg Organizer 5.0 Beta 5—>»C:Program FilesReg Organizerunins000.exe»
Security Task Manager 1.7h—>C:Program FilesSecurity Task ManagerUninstal.exe «C:Documents and SettingsAll UsersStart MenuProgramsSecurity Task Manager»
SpeedFan (remove only)—>»C:Program FilesSpeedFanuninstall.exe»
STOR-M3 Client Application 3.1.8—>C:Program FilesAlee SoftwareSTOR-M 3uninstall.exe
TMeter 6.4.385—>»C:Program FilesTMeterunins000.exe»
Total Commander 6.54 PowerPack—>»C:Program FilesTotal Commanderuninstall.exe»
VeryPDF PDF2Word v3.0—>»C:Program FilesVeryPDF PDF2Word v3.0unins000.exe»
WebMoney Advisor—>regsvr32 /u /s «C:Program FilesWebMoney Advisorwmadvisor.dll»
WebMoney Agent—>C:Program FilesWebMoney Agentuninst_wmagent.exe
WebMoney Keeper Classic 3.8.0.0—>»C:Program FilesWebMoneyUninstall.exe» «C:Program FilesWebMoneyinstall.log» -u
Winamp (remove only)—>»C:Program FilesWinampUninstWA.exe»
Windows Driver Package — Nokia Modem (03/05/2008 3.7)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokia_blue_635B28EFCFA9395123BB1C251595CB16129E2560nokia_bluetooth.inf
Windows Driver Package — Nokia Modem (03/13/2008 6.86.0.1)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREnokbtmdm_28F2EAC406838DA65AFF6C6886FE9FE96AEF5186nokbtmdm.inf
Windows Media Format Runtime—>»C:Program FilesWindows Media Playerwmsetsdk.exe» /UninstallAll
Windows XP Service Pack 3—>»C:WINDOWS$NtServicePackUninstall$spuninstspuninst.exe»
Архиватор WinRAR—>C:Program FilesWinRARuninstall.exe
Звуковое устройство IDT Audio—>RunDll32 C:PROGRA~1COMMON~1INSTAL~1PROFES~1RunTime101Intel32Ctor.dll,LaunchSetup «C:Program FilesInstallShield Installation Information{E3A5A8AB-58F6-45FF-AFCB-C9AE18C05001}setup.exe» -remove -removeonly
Пакет драйверов Windows — Nokia pccsmcfd (10/12/2007 6.85.4.0)—>C:PROGRA~1DIFX270581355A767BF1dpinst.exe /u C:WINDOWSsystem32DRVSTOREpccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175pccsmcfd.inf
Соло на Клавиатуре 8.1—>»C:Program FilesSolo8Uninstall.exe» «C:Program FilesSolo8install.log»======Security center information======
AV: VirusScan Enterprise + AntiSpyware Enterprise
======System event log======
Computer Name: HOME
Event Code: 7036
Message: The NMIndexingService service entered the running state.Record Number: 7917
Source Name: Service Control Manager
Time Written: 20100509134550.000000+240
Event Type: информация
User:Computer Name: HOME
Event Code: 7035
Message: The NMIndexingService service was successfully sent a start control.Record Number: 7916
Source Name: Service Control Manager
Time Written: 20100509134550.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEMComputer Name: HOME
Event Code: 7036
Message: The Application Layer Gateway Service service entered the running state.Record Number: 7915
Source Name: Service Control Manager
Time Written: 20100509134546.000000+240
Event Type: информация
User:Computer Name: HOME
Event Code: 7035
Message: The Application Layer Gateway Service service was successfully sent a start control.Record Number: 7914
Source Name: Service Control Manager
Time Written: 20100509134546.000000+240
Event Type: информация
User: NT AUTHORITYSYSTEMComputer Name: HOME
Event Code: 7036
Message: The SSDP Discovery Service service entered the running state.Record Number: 7913
Source Name: Service Control Manager
Time Written: 20100509134546.000000+240
Event Type: информация
User:=====Application event log=====
Computer Name: HOME
Event Code: 13
Message:
Record Number: 5093
Source Name: SPIDERNT
Time Written: 20100604170455.000000+240
Event Type: информация
User:Computer Name: HOME
Event Code: 1517
Message: Реестр пользователя HOMEYana был сохранен в то время, как приложение или служба продолжали использовать его во время выхода из системы. Используемая реестром пользователя память не была освобождена. Реестр будет выгружен, когда он не будет использоваться.Возможная причина — службы, выполняемые от имени пользователя. Попробуйте изменить настройку служб и задать их выполнение с учетными записями LocalService или NetworkService.
Record Number: 5092
Source Name: Userenv
Time Written: 20100604074641.000000+240
Event Type: предупреждение
User: NT AUTHORITYSYSTEMComputer Name: HOME
Event Code: 0
Message:
Record Number: 5091
Source Name: NMIndexingService
Time Written: 20100603164543.000000+240
Event Type: информация
User:Computer Name: HOME
Event Code: 3
Message: Waiting for incoming connections on port 7643Record Number: 5090
Source Name: TrafSvc
Time Written: 20100603164539.000000+240
Event Type:
User:Computer Name: HOME
Event Code: 3
Message: Started capturing the traffic, Intel(R) 82566DC Gigabit Network Connection — Packet Scheduler Miniport (IP=10.40.192.33), Passive Capture mode, Promiscuous mode=OffRecord Number: 5089
Source Name: TrafSvc
Time Written: 20100603164539.000000+240
Event Type:
User:======Environment variables======
«ComSpec»=%SystemRoot%system32cmd.exe
«FP_NO_HOST_CHECK»=NO
«NUMBER_OF_PROCESSORS»=2
«OS»=Windows_NT
«Path»=C:Program FilesPC Connectivity Solution;%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesIntelDMIX
«PATHEXT»=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
«PROCESSOR_ARCHITECTURE»=x86
«PROCESSOR_IDENTIFIER»=x86 Family 6 Model 15 Stepping 6, GenuineIntel
«PROCESSOR_LEVEL»=6
«PROCESSOR_REVISION»=0f06
«TEMP»=C:Temp
«TMP»=C:Temp
«windir»=%SystemRoot%
«VSEDEFLOGDIR»=C:Documents and SettingsAll UsersApplication DataMcAfeeDesktopProtection
«DEFLOGDIR»=C:Documents and SettingsAll UsersApplication DataMcAfeeDesktopProtection
EOF
30 июля, 2010 в 3:53 пп #30315Необходима проверка ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.30 июля, 2010 в 4:43 пп #30316ComboFix 10-07-29.04 — Yana 30.07.2010 20:38:44.3.2 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1033.18.2021.1469 [GMT 4:00]
Running from: c:documents and settingsYanaDesktopComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:tempcatchme.dll
.
((((((((((((((((((((((((( Files Created from 2010-06-28 to 2010-07-30 )))))))))))))))))))))))))))))))
.2010-07-30 16:29 . 2010-07-30 16:29 16384 —-atw- c:tempPerflib_Perfdata_2f4.dat
2010-07-30 16:28 . 2010-07-30 16:28
d
w- c:temp1
2010-07-30 10:46 . 2010-07-30 16:12
d
w- c:tempC9
2010-07-29 11:54 . 2010-07-29 11:54
d
w- c:program filestrend micro
2010-07-29 11:54 . 2010-07-29 11:54
d
w- C:rsit
2010-07-28 20:14 . 2010-07-29 20:29
d
w- c:documents and settingsAll UsersApplication DataSecTaskMan
2010-07-28 20:14 . 2010-07-29 00:59
d
w- c:program filesSecurity Task Manager
2010-07-28 17:38 . 2010-07-29 01:02
d
w- C:QUARANTINE
2010-07-28 17:32 . 2010-07-28 17:32
d
w- c:tempTestEngDat64
2010-07-28 17:21 . 2010-03-25 16:07 66600 —-a-w- c:windowssystem32driversmferkdet.sys
2010-07-28 17:21 . 2010-03-25 16:07 43288 —-a-w- c:windowssystem32driversmfebopk.sys
2010-07-28 17:21 . 2010-03-25 16:07 91832 —-a-w- c:windowssystem32driversmfeavfk.sys
2010-07-28 17:21 . 2010-03-25 16:07 64208 —-a-w- c:windowssystem32driversmfetdik.sys
2010-07-28 17:21 . 2010-03-25 16:07 70728 —-a-w- c:windowssystem32mfevtps.exe
2010-07-28 17:21 . 2010-03-25 16:07 343920 —-a-w- c:windowssystem32driversmfehidk.sys
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:documents and settingsAll UsersApplication DataMcAfee
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:program filesMcAfee
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:program filesCommon FilesMcAfee
2010-07-28 17:19 . 2010-07-30 16:23
d
w- c:tempMcAfeeLogs
2010-07-28 17:16 . 2010-07-30 16:23
d
w- c:temp{4ABF435A-27FE-4675-8C5D-7B651EFE38F4}
2010-07-28 17:09 . 2010-07-28 17:09
d
w- c:documents and settingsYanaDoctorWeb
2010-07-28 17:08 . 2010-07-28 17:17
d
w- c:program filesDrWeb
2010-07-28 17:07 . 2010-07-30 16:23
d
w- c:temp{1A95EEC5-1AC2-4C59-948D-F01D287B7D42}
2010-07-28 16:55 . 2010-07-30 16:23
d
w- c:temp{0D220655-4A0B-4BE6-9609-CE92BBCF5B4E}
2010-07-27 17:54 . 2010-07-30 16:23
d
w- c:temp{CCA45087-8BED-4FBD-AD5A-1E5CB35CE3C2}
2010-07-27 17:50 . 2010-07-30 16:23
d
w- c:temp{F6CDCD14-7195-441C-9DF3-A987C632B636}
2010-07-27 17:33 . 2010-07-28 18:43
d
w- c:program filesOpera 9
2010-07-26 17:31 . 2010-07-26 17:31 11264 —-a-w- c:windowssystem32driversuziyodgx.sys
2010-07-26 14:13 . 2010-07-30 16:23
d-s—w- c:tempCookies
2010-07-26 14:13 . 2010-07-26 14:13
d-s—w- c:tempHistory
2010-07-26 14:13 . 2010-07-26 14:13
d-s—w- c:tempTemporary Internet Files
2010-07-26 12:56 . 2010-07-26 12:56
d
w- c:windowssystem32configsystemprofile.Ams
2010-07-26 12:56 . 2010-07-26 12:56
d
w- c:windowssystem32configsystemprofile.archive3plugins
2010-07-26 12:56 . 2010-07-26 14:10
d
w- c:windowssystem32configsystemprofilecom.alee.archive3.richclient
2010-07-26 12:56 . 2010-07-26 14:01
d
w- c:windowssystem32configsystemprofile.aleetemp
2010-07-24 20:55 . 2010-07-28 15:42
d
w- c:program filesSpeedFan
2010-07-18 13:59 . 2010-07-18 13:59
d
w- c:program filesRecuva
2010-07-14 14:21 . 2010-07-14 14:26
d
w- c:documents and settingsYanacom.alee.docsorter
2010-07-14 14:21 . 2010-07-14 14:21
d
w- c:documents and settingsAll Userscom.alee.docsorter
2010-07-14 14:20 . 2010-07-15 13:34
d
w- c:program filesPDF Sorter
2010-07-12 19:01 . 2010-07-12 19:01
d
w- c:documents and settingsYanaApplication DataACD Systems
2010-07-12 19:00 . 2010-07-12 19:00
d
w- c:documents and settingsAll UsersApplication DataACD Systems
2010-07-12 18:14 . 2010-07-12 18:18
d
w- c:program filesIrfanView
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsYana.Ams
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsYana.archive3plugins
2010-07-12 17:01 . 2010-07-30 14:15
d
w- c:documents and settingsYana.aleetemp
2010-07-12 17:01 . 2010-07-13 18:35
d
w- c:documents and settingsYanacom.alee.archive3.richclient
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsAll Userscom.alee.archive3.richclient
2010-07-12 17:00 . 2010-07-12 17:00
d
w- c:program filesAlee Software.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-30 16:38 . 2010-05-31 18:37
d
w- c:documents and settingsYanaApplication DatauTorrent
2010-07-28 19:02 . 2009-11-15 13:28
d
w- c:program filesTotal Commander
2010-07-28 18:18 . 2010-07-28 18:18 8 —-a-w- c:documents and settingsLocalServiceApplication Datagqlidy.dat
2010-07-28 17:53 . 2009-11-16 18:08
d
w- c:program filesVeryPDF PDF2Word v3.0
2010-07-28 17:24 . 2010-07-28 17:24 12 —-a-w- c:documents and settingsYanaApplication Datagqlidy.dat
2010-07-28 17:08 . 2009-11-15 12:43
d—h—w- c:program filesInstallShield Installation Information
2010-07-27 09:08 . 2009-11-15 14:20
d
w- c:program filesWebMoney
2010-07-26 12:55 . 2010-07-26 12:55 16 —-a-w- c:documents and settingsNetworkServiceApplication Datagqlidy.dat
2010-07-12 18:59 . 2010-07-12 18:59
d
w- c:program filesACD Systems
2010-07-12 18:10 . 2009-11-15 21:16
d
w- c:documents and settingsYanaApplication DataXnView
2010-06-18 19:04 . 2009-11-15 12:17 19088 —-a-w- c:documents and settingsYanaLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-06-18 18:59 . 2010-06-18 18:59
d
w- c:program filesMicrosoft.NET
2010-06-02 12:49 . 2010-06-02 12:49
d
w- c:program filesAdobe Photoshop CS4 для начинающих
2010-06-01 18:33 . 2004-08-03 21:14 361344 —-a-w- c:windowssystem32driverstcpip.sys
2010-05-31 18:38 . 2010-05-31 18:38
d
w- c:program filesuTorrent
2010-05-29 17:00 . 2010-05-29 17:00 1956808 —-a-w- c:documents and settingsYanaApplication DataMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2010-05-10 11:46 . 2010-05-10 11:47 29480 —-a-w- c:windowssystem32msxml3a.dll
2010-05-10 11:46 . 2010-05-10 11:47 53319 —-a-w- c:documents and settingsAll UsersApplication DataTEMP{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}PostBuild.exe
2010-05-10 11:46 . 2003-03-18 17:14 505128 —-a-w- c:windowssystem32msvcp71.dll
.
Sigcheck
[-] 2010-06-01 . 22A389083780C053B52519AF28201A96 . 361344 . . [5.1.2600.5512] . . c:windowssystem32driverstcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:windowsServicePackFilesi386tcpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:windows$NtServicePackUninstall$tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadLibNMBgMonitor.exe» [2007-01-15 147456]
«Felix II»=»c:program filesScreenMatesFelix IIFelix2.exe» [2009-11-15 958464]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808]
«QIP2005″=»c:program filesQIPqip.exe» [2009-08-13 3276288]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2010-05-31 322352][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SysTrayApp»=»c:program filesIDTWDMsttray.exe» [2009-03-12 483422]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-12-18 150040]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-12-18 178712]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-12-18 150040]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«InCD»=»c:program filesNeroNero 7InCDInCD.exe» [2006-12-08 1053184]
«McAfeeUpdaterUI»=»c:program filesNetwork AssociatesCommon Frameworkudaterui.exe» [2009-08-25 136512]
«Network Associates Error Reporting Service»=»c:program filesCommon FilesNetwork AssociatesTalkBackTBMon.exe» [2004-02-19 147514]
«McAfeeFireTray»=»c:program filesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFiretray.exe» [2006-07-20 655427]
«wmagent.exe»=»c:program filesWebMoney Agentwmagent.exe» [2009-10-19 210400]
«TrafMonitor»=»c:program filesTMetertrafmonitor.exe» [2006-01-28 200704]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2009-11-16 149280]
«OODefragTray»=»c:program filesOO SoftwareDefragoodtray.exe» [2009-09-11 2524416]
«RemoteControl9″=»c:program filesCyberLinkPowerDVD9PDVD9Serv.exe» [2009-02-16 87336]
«PDVD9LanguageShortcut»=»c:program filesCyberLinkPowerDVD9LanguageLanguage.exe» [2008-10-13 50472]
«ShStatEXE»=»c:program filesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2010-03-25 124224][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]c:documents and settingsAll UsersStart MenuProgramsStartup
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-11-15 113664]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696][HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ autocheck autochk *oodbs[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
@=»Service»[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Network Associates\Common Framework\FrameworkService.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=R1 uziyodgx;AVZ-RK Kernel Driver;c:windowssystem32driversuziyodgx.sys [26.07.2010 21:31 11264]
R2 McAfeeEngineService;McAfee Engine Service;c:program filesMcAfeeVirusScan EnterpriseEngineServer.exe [25.03.2010 20:07 22816]
S2 mfevtp;McAfee Validation Trust Protection Service;c:windowssystem32mfevtps.exe [28.07.2010 21:21 70728]
S2 TrafSvc;TMeter 6.4.385;c:program filesTMeterTrafSvc.exe [28.01.2006 13:25 307200]
S3 mferkdet;McAfee Inc. mferkdet;c:windowssystem32driversmferkdet.sys [28.07.2010 21:21 66600]
S3 Prsvcdi;Prsvcdi; [x]— Other Services/Drivers In Memory —
*Deregistered* — TMeter
.
.
Supplementary Scan
.
uStart Page = start.qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3OFFICE11EXCEL.EXE/3000
TCP: {C5A22B45-A6CE-4ECD-972C-9E778AD42644} = 10.59.3.19
DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} — hxxps://w3s.webmoney.ru/WMAcceptor.dll
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-30 20:40
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionSystem*]
«OODEFRAG12.00.00.01PROFESSIONAL»=»070AEBBBFABB1D79635A0427C17088A8CBEAFD8918A440AE4D5CA392C865C577CB9A674CA67D772F7781F8CBE6604E008B90B4FECB21ECE6EBA9D5FD2800818A02E802752203F730F383211859A1F535A939862A4B0032219F5B689595368DC18F5BA81000B007DCDE6DEDD4D81300E7663F0BE422FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC7933C038D530D6EB3452A9C6AECB7A5D1407C038D530D6EB3452D3F409FB1B0DDDF566999D854D144E82D40D29480E9760B7AECFA102B83B852B7C865C68156D9BBC2A3EC96D8AD432C97F79C450DD015FA7AE9272068A7A2BEF6DEC2EEB21187C9C19738ACD3AA4AC757D6A60B6F7DD13CD938F69191C37B00D640B724327F4630EECB017228C14B2CB9E0C9353F3031FDDE54722118DA98BC145D8E4E071C336FD01016A1717843B05D89FBBB15197AB7D53D17775E65FB64296608268B094DF4BD386C31151AD414E44FA7891EE1666452DD70D0390B6303483C10EB4F74ECFC98B7426A6971AC4C81E882D651551FE456B9746AADBE7F8B3DAB08D52BEAAF6426E14D8A1AAA84A88474303566B6AA9FD27E44C10F878954F0FF3CB04DFB64C7169BFE600AF8C5917C4BC65BD7FD9A1E61D258D0C7F479009B7E6D5BE9A55CB850C6A1FF4AD4AFBF1401C842EC26C21E7B0D1BA2CE88477D810F7FEAB14BAF3A489161567913FC30A8498D4E70BC069E1E67AC7309334DC2A75AC5DA95172C565BADB21712C1944C304028EE4114A3F24EAC06F8BC231555BEB99C9C8BF59C9D31C68DBE031DA137954B62D4FF2D2EBF6885BADE79C26FABF1BEB634EAC2189EF4BFAA53A3ADB4EF62DACF10831F3BA92B293C4A2AA94EA9E4DE00CB5CD4F14AE0E692232C24514FC6AEEE020329EFDA580C8B9CA5C5147326FCE6A2BB93FFC774C9AB8B32A9709428F1941E13E9588D2A9EDD4258385352A971AE78F6A9CD826900B14DDB6A4536E40DD204804F1B42F0E07A22BD7AC5FA8FAC0337A416A430B8CCB22021093A01E44014C81159EDD452D2FF688F11973C674CFBEB3807DDB6A120118A8C2DD9E648ADCDBF1E45B65933016E39ED06FA10E826ABFB85081437B9B61EB0A3F558243A2DCA4304FBC308BDD7C4500D7A720FC49C931BB3BF1236B43BA5896599903B7C185450A0F2A2692A63AB5774C0E2A088F3750A2B1232359496EDEEF4A235CAA41E81D7C485F33041BB798005845FA944094A00606B8F2D8906D3FEBAD3C4E809D324F3CFE6B4B2CF0F2124B8B4056FE6952E6B4F02DC5F223C2031785049B8B789EC3B01B34DECF03010BBDD7C88016BDF82E2E8CCD5224AB8AF42EB36D0D9695FE29756DEEE9224E06B06E127B439C1523C42A58BD52DA7AF2242502BD6D5EDDB8EC5AA427E64FF4BC75»
.
Completion time: 2010-07-30 20:41:09
ComboFix-quarantined-files.txt 2010-07-30 16:41
ComboFix2.txt 2010-07-30 16:36Pre-Run: 23 279 575 040 bytes free
Post-Run: 23 268 098 048 bytes free— — End Of File — — F7FF715476FF50AAEF7C4FD665F74A9B
30 июля, 2010 в 4:52 пп #30317Это- второй лог, первый не создался, насколько теперь достоверен этот, не знаю..
я теперь точно ламер, : ( потому что я антивирь выключила, а фаервол нет(( от этого и начались лишние проблемы(( простите «чайника»((
в первый запуск Combofix первой же строкой у нее было — System file is infected! Attempting to restore C:WINDOWSsystem32sfcfile.dll
прошуршала она, побила мне кучу файлов в темпе, в Application Data, больше всего в WMAdvisor
увела машину в перезагрузку
а вот после перезагрузки и заорал фаервол, я по дурости начала ему все запрещать (уже голова кругом идет блин, всего теперь боишься), все зависло. пришлось перегружать resetом и запускать combofix заново : (
консоль она установила, соединялась с интернетом во второй запуск, в первый нет.. такая вот ситуация ныне..
я все испортила, да? 🙁30 июля, 2010 в 5:07 пп #30318Могу скрин выложить с фаера выложить после того момента после перезагрузки во время работы комбофикс, с сохраненными правилами-запретами, если надо 🙁 там и комбофикс есть, и какие-то непонятные «неподключенные к компьютеру устройства»..я точно все испортила теперь, да?:(
30 июля, 2010 в 5:16 пп #30319Не волнуйтесь, всё в порядке. Данную программу можно запускать несколько раз, пока она не очистит систему от вредных файлов которые найдёт. Только теперь дождитесь ответа от Valeri, по поводу дальнейших действий.
30 июля, 2010 в 5:50 пп #30320Так это ж я сама прервала ее работу, получается, вот поэтому и занервничала..блин, в спешке всегда косячишь : (
еще раз простите : (
жду рекомендаций, параллельно попытаюсь разобраться с фаером, что там за непонятные отключенные устройства, бог знает..
следующим шагом, наверно будет GMER, я так думаю?30 июля, 2010 в 11:02 пп #30321Прошу прощения за самовольничество, неотключенный фаер действительно мне тут внес свою лепту, я дофига чего запретила и системного и не системного, и дофига чего теперь не работает (и не работало после комбофикс).в общем, пришлось сделать тупо отмену всех правил фаера, созданных при перезагрузке во время первого сеанса комбофикса, перазагрузиться, разрешить запуститься всем желающим запуститься, еще раз перезагрузиться, запустить комбофикс и сделать еще один лог уже со всеми желающими запуститься процессами.
ГЛАВНЫЙ ВОПРОС «ЧАЙНИКА» — прикол в том, что они-то у меня сидят в автозапуске оба, и фаер, и макафи, и при перезагрузке во время работы комбофикса активируются, как будто их и не выключали — так вот после окончания работы комбофикса макафи тут же благополучно ее прибил — как убрать теперь ее следы, если нужно? папка Qoobox есть, а самой проги нет…и нормально ли вообще все это было? 🙁 у меня уже ей-богу голова кругом идет от всех етих приключений 🙁вот лог —
ComboFix 10-07-29.04 — Yana 31.07.2010 2:28.4.2 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1033.18.2021.1376 [GMT 4:00]
Running from: c:documents and settingsYanaDesktopComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsAll UsersApplication DataACD SystemsACDSeeImageDB.ddf
c:tempsfamcc00001.dll
c:tempsfareca00001.dll.
((((((((((((((((((((((((( Files Created from 2010-06-28 to 2010-07-30 )))))))))))))))))))))))))))))))
.2010-07-30 22:32 . 2010-07-30 22:32
d
w- c:temp1
2010-07-30 22:31 . 2010-07-30 22:31 16384 —-atw- c:tempPerflib_Perfdata_6f0.dat
2010-07-30 22:11 . 2010-07-30 22:26
d
w- c:temp7A
2010-07-30 10:46 . 2010-07-30 16:12
d
w- c:tempC9
2010-07-29 11:54 . 2010-07-29 11:54
d
w- c:program filestrend micro
2010-07-29 11:54 . 2010-07-29 11:54
d
w- C:rsit
2010-07-28 20:14 . 2010-07-30 22:23
d
w- c:documents and settingsAll UsersApplication DataSecTaskMan
2010-07-28 20:14 . 2010-07-29 00:59
d
w- c:program filesSecurity Task Manager
2010-07-28 17:38 . 2010-07-30 21:06
d
w- C:QUARANTINE
2010-07-28 17:32 . 2010-07-28 17:32
d
w- c:tempTestEngDat64
2010-07-28 17:21 . 2010-03-25 16:07 66600 —-a-w- c:windowssystem32driversmferkdet.sys
2010-07-28 17:21 . 2010-03-25 16:07 43288 —-a-w- c:windowssystem32driversmfebopk.sys
2010-07-28 17:21 . 2010-03-25 16:07 91832 —-a-w- c:windowssystem32driversmfeavfk.sys
2010-07-28 17:21 . 2010-03-25 16:07 64208 —-a-w- c:windowssystem32driversmfetdik.sys
2010-07-28 17:21 . 2010-03-25 16:07 70728 —-a-w- c:windowssystem32mfevtps.exe
2010-07-28 17:21 . 2010-03-25 16:07 343920 —-a-w- c:windowssystem32driversmfehidk.sys
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:documents and settingsAll UsersApplication DataMcAfee
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:program filesMcAfee
2010-07-28 17:21 . 2010-07-28 17:21
d
w- c:program filesCommon FilesMcAfee
2010-07-28 17:19 . 2010-07-30 16:23
d
w- c:tempMcAfeeLogs
2010-07-28 17:16 . 2010-07-30 16:23
d
w- c:temp{4ABF435A-27FE-4675-8C5D-7B651EFE38F4}
2010-07-28 17:09 . 2010-07-28 17:09
d
w- c:documents and settingsYanaDoctorWeb
2010-07-28 17:08 . 2010-07-28 17:17
d
w- c:program filesDrWeb
2010-07-28 17:07 . 2010-07-30 16:23
d
w- c:temp{1A95EEC5-1AC2-4C59-948D-F01D287B7D42}
2010-07-28 16:55 . 2010-07-30 16:23
d
w- c:temp{0D220655-4A0B-4BE6-9609-CE92BBCF5B4E}
2010-07-27 17:54 . 2010-07-30 16:23
d
w- c:temp{CCA45087-8BED-4FBD-AD5A-1E5CB35CE3C2}
2010-07-27 17:50 . 2010-07-30 16:23
d
w- c:temp{F6CDCD14-7195-441C-9DF3-A987C632B636}
2010-07-27 17:33 . 2010-07-28 18:43
d
w- c:program filesOpera 9
2010-07-26 17:31 . 2010-07-26 17:31 11264 —-a-w- c:windowssystem32driversuziyodgx.sys
2010-07-26 14:13 . 2010-07-30 16:23
d-s—w- c:tempCookies
2010-07-26 14:13 . 2010-07-26 14:13
d-s—w- c:tempHistory
2010-07-26 14:13 . 2010-07-26 14:13
d-s—w- c:tempTemporary Internet Files
2010-07-26 12:56 . 2010-07-26 12:56
d
w- c:windowssystem32configsystemprofile.Ams
2010-07-26 12:56 . 2010-07-26 12:56
d
w- c:windowssystem32configsystemprofile.archive3plugins
2010-07-26 12:56 . 2010-07-26 14:10
d
w- c:windowssystem32configsystemprofilecom.alee.archive3.richclient
2010-07-26 12:56 . 2010-07-26 14:01
d
w- c:windowssystem32configsystemprofile.aleetemp
2010-07-24 20:55 . 2010-07-30 22:18
d
w- c:program filesSpeedFan
2010-07-18 13:59 . 2010-07-18 13:59
d
w- c:program filesRecuva
2010-07-14 14:21 . 2010-07-14 14:26
d
w- c:documents and settingsYanacom.alee.docsorter
2010-07-14 14:21 . 2010-07-14 14:21
d
w- c:documents and settingsAll Userscom.alee.docsorter
2010-07-14 14:20 . 2010-07-15 13:34
d
w- c:program filesPDF Sorter
2010-07-12 19:01 . 2010-07-12 19:01
d
w- c:documents and settingsYanaApplication DataACD Systems
2010-07-12 19:00 . 2010-07-12 19:00
d
w- c:documents and settingsAll UsersApplication DataACD Systems
2010-07-12 18:14 . 2010-07-12 18:18
d
w- c:program filesIrfanView
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsYana.Ams
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsYana.archive3plugins
2010-07-12 17:01 . 2010-07-30 17:09
d
w- c:documents and settingsYana.aleetemp
2010-07-12 17:01 . 2010-07-13 18:35
d
w- c:documents and settingsYanacom.alee.archive3.richclient
2010-07-12 17:01 . 2010-07-12 17:01
d
w- c:documents and settingsAll Userscom.alee.archive3.richclient
2010-07-12 17:00 . 2010-07-12 17:00
d
w- c:program filesAlee Software.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-30 22:34 . 2010-05-31 18:37
d
w- c:documents and settingsYanaApplication DatauTorrent
2010-07-30 22:25 . 2009-11-16 17:26
d
w- c:documents and settingsYanaApplication DataVso
2010-07-28 19:02 . 2009-11-15 13:28
d
w- c:program filesTotal Commander
2010-07-28 18:18 . 2010-07-28 18:18 8 —-a-w- c:documents and settingsLocalServiceApplication Datagqlidy.dat
2010-07-28 17:53 . 2009-11-16 18:08
d
w- c:program filesVeryPDF PDF2Word v3.0
2010-07-28 17:24 . 2010-07-28 17:24 12 —-a-w- c:documents and settingsYanaApplication Datagqlidy.dat
2010-07-28 17:08 . 2009-11-15 12:43
d—h—w- c:program filesInstallShield Installation Information
2010-07-27 09:08 . 2009-11-15 14:20
d
w- c:program filesWebMoney
2010-07-26 12:55 . 2010-07-26 12:55 16 —-a-w- c:documents and settingsNetworkServiceApplication Datagqlidy.dat
2010-07-12 18:59 . 2010-07-12 18:59
d
w- c:program filesACD Systems
2010-07-12 18:10 . 2009-11-15 21:16
d
w- c:documents and settingsYanaApplication DataXnView
2010-06-18 19:04 . 2009-11-15 12:17 19088 —-a-w- c:documents and settingsYanaLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-06-18 18:59 . 2010-06-18 18:59
d
w- c:program filesMicrosoft.NET
2010-06-02 12:49 . 2010-06-02 12:49
d
w- c:program filesAdobe Photoshop CS4 для начинающих
2010-06-01 18:33 . 2004-08-03 21:14 361344 —-a-w- c:windowssystem32driverstcpip.sys
2010-05-29 17:00 . 2010-05-29 17:00 1956808 —-a-w- c:documents and settingsYanaApplication DataMacromediaFlash Playerwww.macromedia.combinfpupdateaxfpupdateax.exe
2010-05-10 11:46 . 2010-05-10 11:47 29480 —-a-w- c:windowssystem32msxml3a.dll
2010-05-10 11:46 . 2010-05-10 11:47 53319 —-a-w- c:documents and settingsAll UsersApplication DataTEMP{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}PostBuild.exe
2010-05-10 11:46 . 2003-03-18 17:14 505128 —-a-w- c:windowssystem32msvcp71.dll
.
Sigcheck
[-] 2010-06-01 . 22A389083780C053B52519AF28201A96 . 361344 . . [5.1.2600.5512] . . c:windowssystem32driverstcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:windowsServicePackFilesi386tcpip.sys
[7] 2004-08-03 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:windows$NtServicePackUninstall$tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesAheadLibNMBgMonitor.exe» [2007-01-15 147456]
«Felix II»=»c:program filesScreenMatesFelix IIFelix2.exe» [2010-07-30 958464]
«Nokia.PCSync»=»c:program filesNokiaNokia PC Suite 6PCSync2.exe» [2008-03-26 1232896]
«PC Suite Tray»=»c:program filesNokiaNokia PC Suite 6PCSuite.exe» [2008-04-16 1079808]
«QIP2005″=»c:program filesQIPqip.exe» [2009-08-13 3276288]
«uTorrent»=»c:program filesuTorrentuTorrent.exe» [2010-05-31 322352][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SysTrayApp»=»c:program filesIDTWDMsttray.exe» [2009-03-12 483422]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-12-18 150040]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-12-18 178712]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-12-18 150040]
«NeroFilterCheck»=»c:program filesCommon FilesAheadLibNeroCheck.exe» [2006-01-12 155648]
«InCD»=»c:program filesNeroNero 7InCDInCD.exe» [2006-12-08 1053184]
«McAfeeUpdaterUI»=»c:program filesNetwork AssociatesCommon Frameworkudaterui.exe» [2009-08-25 136512]
«Network Associates Error Reporting Service»=»c:program filesCommon FilesNetwork AssociatesTalkBackTBMon.exe» [2004-02-19 147514]
«McAfeeFireTray»=»c:program filesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFiretray.exe» [2006-07-20 655427]
«wmagent.exe»=»c:program filesWebMoney Agentwmagent.exe» [2009-10-19 210400]
«TrafMonitor»=»c:program filesTMetertrafmonitor.exe» [2006-01-28 200704]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2009-11-16 149280]
«OODefragTray»=»c:program filesOO SoftwareDefragoodtray.exe» [2009-09-11 2524416]
«RemoteControl9″=»c:program filesCyberLinkPowerDVD9PDVD9Serv.exe» [2009-02-16 87336]
«PDVD9LanguageShortcut»=»c:program filesCyberLinkPowerDVD9LanguageLanguage.exe» [2008-10-13 50472]
«ShStatEXE»=»c:program filesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2010-03-25 124224][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]c:documents and settingsAll UsersStart MenuProgramsStartup
Adobe Gamma Loader.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2009-11-15 113664]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — c:program filesAdobeAcrobat 7.0Readerreader_sl.exe [2004-12-14 29696][HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ autocheck autochk *oodbs[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalMcAfeeEngineService]
@=»Service»[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Network Associates\Common Framework\FrameworkService.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=R1 uziyodgx;AVZ-RK Kernel Driver;c:windowssystem32driversuziyodgx.sys [26.07.2010 21:31 11264]
R2 McAfeeEngineService;McAfee Engine Service;c:program filesMcAfeeVirusScan EnterpriseEngineServer.exe [25.03.2010 20:07 22816]
R2 mfevtp;McAfee Validation Trust Protection Service;c:windowssystem32mfevtps.exe [28.07.2010 21:21 70728]
R2 TrafSvc;TMeter 6.4.385;c:program filesTMeterTrafSvc.exe [28.01.2006 13:25 307200]
S3 mferkdet;McAfee Inc. mferkdet;c:windowssystem32driversmferkdet.sys [28.07.2010 21:21 66600]
S3 Prsvcdi;Prsvcdi; [x]— Other Services/Drivers In Memory —
*Deregistered* — TMeter
.
.
Supplementary Scan
.
uStart Page = start.qip.ru
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~3OFFICE11EXCEL.EXE/3000
TCP: {C5A22B45-A6CE-4ECD-972C-9E778AD42644} = 10.59.3.19
DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} — hxxps://w3s.webmoney.ru/WMAcceptor.dll
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-31 02:34
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
LOCKED REGISTRY KEYS
[HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionSystem*]
«OODEFRAG12.00.00.01PROFESSIONAL»=»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»
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘explorer.exe'(2316)
c:program filesMicrosoft OfficeOFFICE11msohev.dll
.
Other Running Processes
.
c:program filesidtintelxpv_v103wdmSTacSV.exe
c:program filesNetwork AssociatesMcAfee Desktop Firewall for Windows XPFireSvc.exe
c:program filesNeroNero 7InCDInCDsrv.exe
c:program filesJavajre6binjqs.exe
c:windowssystem32igfxsrvc.exe
c:program filesNetwork AssociatesCommon FrameworkFrameworkService.exe
c:program filesCommon FilesAheadLibNMIndexStoreSvr.exe
c:program filesMcAfeeVirusScan EnterpriseVsTskMgr.exe
c:program filesOO SoftwareDefragoodag.exe
c:program filesNetwork AssociatesCommon FrameworknaPrdMgr.exe
c:windowssystem32wdfmgr.exe
c:program filesMcAfeeVirusScan EnterpriseMcshield.exe
c:program filesMcAfeeVirusScan Enterprisemfeann.exe
c:program filesNetwork AssociatesCommon FrameworkMcTray.exe
c:program filesCommon FilesNokiaMPAPIMPAPI3s.exe
c:windowssystem32wscntfy.exe
c:program filesPC Connectivity SolutionServiceLayer.exe
c:program filesPC Connectivity SolutionTransportsNclUSBSrv.exe
c:program filesPC Connectivity SolutionTransportsNclRSSrv.exe
c:program filesCommon FilesAheadLibNMIndexingService.exe
.
**************************************************************************
.
Completion time: 2010-07-31 02:37:14 — machine was rebooted
ComboFix-quarantined-files.txt 2010-07-30 22:37
ComboFix2.txt 2010-07-30 16:41
ComboFix3.txt 2010-07-30 16:36Pre-Run: 23 229 988 864 bytes free
Post-Run: 23 219 703 808 bytes free— — End Of File — — D16050F6691BE18BE4E239DD57CC58BD
8 августа, 2010 в 9:28 пп #30322Здравствуйте еще раз!
Я конечно, дико извиняюсь за небольшое нарушение правил настоящего ресурса, согласно которым запрещается поднимать тему наверх искусственным путем 🙂 просто прошло больше недели уже, вынуждена нарушить данное правило, чтобы задать маленький хамский вопрос, за который опять же заранее дико извиняюсь : ) одно из трех — про меня забыли, меня вежливо и молча-культурно послали подальше, или же у меня оказался такой тяжелый и неизлечимый случай? : (26 августа, 2010 в 6:03 пп #30323Очень жаль, что не дождалась помощи, ждала терпеливо, и больше 7 дней, в личку писать кому-то постеснялась.. у вас и так много работы, помимо ведения форума, понимаю, но все-таки обидно немного..
наверно там у меня действительно все было запущено..
в общем, спасибо за попытки помочь, но я уже переставила уже систему по-новой
правда, теперь какие-то другие непонятки начались, хоть вобще за комп не садись и в интернет не ходи..как там говорят — самый безопасный комп, это отключенный от сетевой и силовой розеток))26 августа, 2010 в 6:03 пп #30324В ЛС надо было писать…
Ничего у вас не запущено, нет безысходный ситуаций. -
АвторСообщения
- Для ответа в этой теме необходимо авторизоваться.