Trojan.Click.20674

This topic has 5 ответов, 2 участника, and was last updated 16 years, 2 months назад by Admin.

Просмотр 6 сообщений - с 1 по 6 (из 6 всего)

Автор

Сообщения
15 ноября, 2008 в 10:29 дп #15914
Vadim
Participant
- Темы:1
- Сообщений:3
Получаю от dr.Web следующее сообщение:
C:Documents and SettingsuserLocal SettingsTemporary Internet FilesContent.IE5JCNBDN45ihhh[1].htmScript.0 — инфицирован Trojan.Click.20674

Сканирую HijackThis, получаю следующий лог:
Logfile of HijackThis v1.99.1
Scan saved at 13:27:49, on 15.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesIntelWirelessBinEvtEng.exe
C:Program FilesIntelWirelessBinS24EvMon.exe
C:Program FilesIntelWirelessBinWLKeeper.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
C:WINDOWSsystem32amupdsvc.exe
C:WINDOWSATKKBService.exe
C:WINDOWSsystem32RemoteControlService.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32Snmptrap.exe
C:PROGRA~1DrWebspidernt.exe
C:Program FilesMicrosoft SQL Server90Sharedsqlwriter.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesCommon FilesAcronisFomatikTrueImageTryStartService.exe
C:Program FilesIntelWirelessBinZcfgSvc.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1IntelWirelessBin1XConfig.exe
C:Program FilesASPMonitorASMonitor.exe
C:WINDOWSATK0100HControl.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSATK0100ATKOSD.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesSamsungSamsung SCX-4×21 SeriesPSUScan2pc.exe
C:Program FilesAmiconClient FPSU-IPIP-Client.exe
C:PROGRA~1DrWebspiderui.exe
C:Program FilesDrWebspiderml.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesDownload Masterdmaster.exe
C:Program FilesTotal CommanderTotalcmd.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesLogitechSetPointSetPoint.exe
C:Program FilesCommon FilesLogishrdKHAL2KHALMNPR.EXE
C:WINDOWSsystem32taskmgr.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMicrosoft OfficeOFFICE11OUTLOOK.EXE
C:Program FilesPRMT8PrmtSvr.exe
C:Program FilesMicrosoft OfficeOFFICE11WINWORD.EXE
C:Program FilesInternet Exploreriexplore.exe
D:ArchiveHijackThis.exe

R1 — HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.mail.ru/
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 — HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Adobe PDF Reader Link Helper — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_05binssv.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O2 — BHO: Adobe PDF Conversion Toolbar Helper — {AE7CD045-E861-484f-8273-0445EE161910} — C:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll
O2 — BHO: TBSB03223 Class — {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — C:Program FilesWebMoney Advisorwmadvisor.dll
O3 — Toolbar: Adobe PDF — {47833539-D0C5-4125-9FA8-0819E2EAAC93} — C:Program FilesAdobeAcrobat 8.0AcrobatAcroIEFavClient.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O3 — Toolbar: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O4 — HKLM..Run: [HControl] C:WINDOWSATK0100HControl.exe
O4 — HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 — HKLM..Run: [WHITNEY_S2P] C:Program FilesSamsungSamsung SCX-4×21 SeriesPSUScan2pc.exe
O4 — HKLM..Run: [QuickTime Task] «C:WINDOWSsystem32qttask.exe» -atboottime
O4 — HKLM..Run: [Amicon VPN Client] C:Program FilesAmiconClient FPSU-IPIP-Client.exe
O4 — HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspiderui.exe /agent
O4 — HKLM..Run: [SpIDerMail] «C:Program FilesDrWebspiderml.exe»
O4 — HKLM..Run: [OutpostMonitor] C:PROGRA~1AgnitumOUTPOS~1op_mon.exe /tray /noservice
O4 — HKLM..Run: [OutpostFeedBack] «C:Program FilesAgnitumOutpost Firewall Profeedback.exe» /dump:os_startup
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [Download Master] C:Program FilesDownload Masterdmaster.exe -autorun
O4 — Startup: Total Commander.lnk = C:Program FilesTotal CommanderTotalcmd.exe
O4 — Global Startup: Firebird Guardian.lnk = D:Program FilesExpert SystemsQuick Sales 2 FreeFBBinfbguard.exe
O4 — Global Startup: Logitech SetPoint.lnk = C:Program FilesLogitechSetPointSetPoint.exe
O8 — Extra context menu item: Save Flash — res://C:Program FilesUnH SolutionsFlash Saving PluginFlashSButton.dll/210
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — shell32.dll (file missing)
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — shell32.dll (file missing)
O9 — Extra button: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — shell32.dll (file missing)
O9 — Extra ‘Tools’ menuitem: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — shell32.dll (file missing)
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Быстрая настройка Outpost Firewall Pro — {44627E97-789B-40d4-B5C2-58BD171129A1} — C:Program FilesAgnitumOutpost Firewall Proie_bar.dll
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: Sothink SWF Catcher — {E19ADC6E-3909-43E4-9A89-B7B676377EE3} — C:Program FilesCommon FilesSourceTecSWF CatcherInternetExplorer.htm
O9 — Extra ‘Tools’ menuitem: Sothink SWF Catcher — {E19ADC6E-3909-43E4-9A89-B7B676377EE3} — C:Program FilesCommon FilesSourceTecSWF CatcherInternetExplorer.htm
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra button: Flash — {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} — shell32.dll (file missing) (HKCU)
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 — Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O11 — Options group: [INTERNATIONAL] International*
O16 — DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) — https://w3s.webmoney.ru/WMAcceptor.dll
O16 — DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) — http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211646158343
O16 — DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) — http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211652287296
O16 — DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) — http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 — HKLMSystemCCSServicesTcpip..{F8DD030D-487D-4539-BF7A-533C15A6D2C2}: NameServer = 79.173.64.77,79.173.75.77
O18 — Protocol: ms-help — {314111C7-A502-11D2-BBCA-00C04F8EC294} — C:Program FilesCommon FilesMicrosoft SharedHelphxds.dll
O20 — AppInit_DLLs: c:progra~1agnitumoutpos~1wl_hook.dll
O20 — Winlogon Notify: dimsntfy — %SystemRoot%System32dimsntfy.dll (file missing)
O20 — Winlogon Notify: IntelWireless — C:Program FilesIntelWirelessBinLgNotify.dll
O20 — Winlogon Notify: LBTWlgn — c:program filescommon fileslogishrdbluetoothLBTWlgn.dll
O21 — SSODL: WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll
O23 — Service: Acronis Scheduler2 Service (AcrSch2Svc) — Acronis — C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
O23 — Service: Agnitum Client Security Service (acssrv) — Agnitum Ltd. — C:PROGRA~1AgnitumOUTPOS~1acs.exe
O23 — Service: Amicon Automatic Updates Service (amupdsvc) — Unknown owner — C:WINDOWSsystem32amupdsvc.exe
O23 — Service: Apache2.2 — Unknown owner — C:Program FilesApache Software FoundationApache2.2binhttpd.exe» -k runservice (file missing)
O23 — Service: Ati HotKey Poller — ATI Technologies Inc. — C:WINDOWSsystem32Ati2evxx.exe
O23 — Service: ATK Keyboard Service (ATKKeyboardService) — ASUSTeK COMPUTER INC. — C:WINDOWSATKKBService.exe
O23 — Service: Autodesk Licensing Service — Autodesk — C:Program FilesCommon FilesAutodesk SharedServiceAdskScSrv.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: EvtEng — Intel Corporation — C:Program FilesIntelWirelessBinEvtEng.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: ITE Remote Control Service (ITECIRService) — ITE Tech. Inc. — C:WINDOWSsystem32RemoteControlService.exe
O23 — Service: Logitech Bluetooth Service (LBTServ) — Logitech, Inc. — C:Program FilesCommon FilesLogishrdBluetoothLBTServ.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) — Unknown owner — C:Program FilesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe» -sSQLEXPRESS (file missing)
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Spectrum24 Event Monitor (S24EventMonitor) — Intel Corporation — C:Program FilesIntelWirelessBinS24EvMon.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: SpIDer Guard for Windows (SPIDERNT) — Doctor Web, Ltd. — C:PROGRA~1DrWebspidernt.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Acronis Try And Decide Service (TryAndDecideService) — Unknown owner — C:Program FilesCommon FilesAcronisFomatikTrueImageTryStartService.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: WLANKEEPER — Intel® Corporation — C:Program FilesIntelWirelessBinWLKeeper.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

Помогите, плз, разобраться, где эта гнида сидит.
16 ноября, 2008 в 2:45 пп #19783
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

HijackThis лог выглядит нормально.
Для начала очистим временные каталоги на вашем компьютере.

Скачайте программу ATF Cleaner by Atribune, кликнув по этой ссылке.
Отметьте галочками следующие опции:

Windows Temp
Current User Temp
All Users Temp
Temporary Internet Files
Java Cache

Затем кликните по кнопке Empty Selected.
Когда увидите сообщение Done Cleaning, то нажмите кнопку OK.
Закройте программу.

Выполните полное сканирование компьютера вашим антивирусом, проверьте будет ли найден троян.
16 ноября, 2008 в 8:24 пп #19784
Vadim
Participant
- Темы:1
- Сообщений:3
Очистил временные каталоги при помощи ATF Cleaner by Atribune.
Проверил весь диск при помощи dr.Web и Malwarebytes. Ничего не обнаружено.
При запуске IE, получаю все то же сообщение:
C:Documents and SettingsuserLocal SettingsTemporary Internet FilesContent.IE5JCNBDN45ihhh[1].htmScript.0 — инфицирован Trojan.Click.20674
Заметил, что это просходит не при каждом заходе на новую страницу, а как-то непериодично.
Вижу через Outpost, что происходит попытка соединения на
«Запрос: HTTP11 GET do.qwertyy.cn/swfobject.js»
или
«Запрос: HTTP11 GET do.qwertyy.cn/office.htm»
или
«Запрос: HTTP11 GET do.qwertyy.cn/ihhh.html»
и т.д., все на do.qwertyy.cn
При этом dr.Web и начинает ругаться.
17 ноября, 2008 в 7:57 дп #19785
Admin
Keymaster
- Темы:40
- Сообщений:5676
Тогда проверим ваш компьютер более детально.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.
17 ноября, 2008 в 8:28 дп #19786
Vadim
Participant
- Темы:1
- Сообщений:3
Пробовал вчера.
ComboFix 08-11-14.01 — user 2008-11-16 10:25:24.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.670 [GMT 3:00]
Running from: d:catvVideoПрограммыComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-10-16 to 2008-11-16 )))))))))))))))))))))))))))))))
.

2008-11-13 12:11 . 2008-11-13 13:07
d

c:program filesTV Abonent 2008
2008-11-12 13:37 . 2008-10-24 14:21 455,296

c— c:windowssystem32dllcachemrxsmb.sys
2008-11-12 13:36 . 2008-09-04 20:17 1,106,944

c— c:windowssystem32dllcachemsxml3.dll
2008-11-07 18:48 . 2008-11-07 18:48 d

c:documents and settingsГостьApplication DataLogitech
2008-11-02 19:29 . 2008-11-02 19:29 d

c:documents and settingsAll UsersApplication DataLogiShrd
2008-11-02 19:28 . 2008-11-02 19:28 d

c:documents and settingsuserApplication DataLogitech
2008-11-02 19:27 . 2008-11-02 19:27 0 —ah

c:windowssystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-11-02 19:27 . 2008-11-02 19:27 0 —ah

c:windowssystem32driversMsft_Kernel_LMouFilt_01005.Wdf
2008-11-02 19:25 . 2008-05-02 02:38 301,656 —a

c:windowssystem32BtCoreIf.dll
2008-11-02 19:25 . 2008-05-02 02:39 170,512 —a

c:windowssystem32kemutb.dll
2008-11-02 19:25 . 2008-05-02 02:39 145,936 —a

c:windowssystem32KemUtil.dll
2008-11-02 19:25 . 2008-05-02 02:40 117,264 —a

c:windowssystem32KemWnd.dll
2008-11-02 19:25 . 2008-05-02 02:40 84,496 —a

c:windowssystem32KemXML.dll
2008-11-02 19:24 . 2008-11-02 19:24 d

c:program filesLogitech
2008-11-02 19:24 . 2008-11-02 19:26 d

c:program filesCommon FilesLogishrd
2008-11-02 19:24 . 2008-11-02 19:24 d

c:documents and settingsAll UsersApplication DataLogitech
2008-10-25 13:12 . 2008-10-25 13:12 d

c:documents and settingsГостьApplication DataPROject MT
2008-10-25 10:58 . 2008-10-15 19:37 337,408

c— c:windowssystem32dllcachenetapi32.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-16 07:30

d

w c:program filesDrWeb
2008-11-15 11:56

d

w c:program filesjv16 PowerTools
2008-11-14 09:22

d

w c:documents and settingsAll UsersApplication DataFLEXnet
2008-11-02 16:24

d—h—w c:program filesInstallShield Installation Information
2008-10-24 11:21 455,296 —-a-w c:windowssystem32driversmrxsmb.sys
2008-10-21 11:55

d

w c:program filesMicrosoft Silverlight
2008-09-30 13:43 1,286,152 —-a-w c:windowssystem32msxml4.dll
2008-09-24 06:46

d

w c:program filesICQ6
2008-09-24 06:46

d

w c:documents and settingsuserApplication DataICQ
2008-09-24 06:37

d

w c:documents and settingsuserApplication DataInstallShield
2008-09-19 09:05

d

w c:documents and settingsГостьApplication DataAgnitum
2008-09-19 04:04

d

w c:program filesASPMonitor
2008-09-18 16:47

d

w c:documents and settingsuserApplication DataAgnitum
2008-09-18 16:45

d

w c:program filesAgnitum
2008-09-18 16:45

d

w c:documents and settingsAll UsersApplication DataAgnitum
2008-09-16 03:37

d

w c:documents and settingsuserApplication DataPROject MT
2008-09-15 15:27 1,846,528 —-a-w c:windowssystem32win32k.sys
2008-09-13 14:45 73,728 —-atw c:windowssystem32DRWEBSP.DLL
2008-09-10 01:15 1,307,648

w c:windowssystem32msxml6.dll
2008-09-04 17:17 1,106,944 —-a-w c:windowssystem32msxml3.dll
2008-08-26 08:26 826,368 —-a-w c:windowssystem32wininet.dll
.

Sigcheck

2008-04-14 20:41 509440 b3b5d5855127e240c88451030aaee76e c:windowsServicePackFilesi386winlogon.exe
2008-08-06 23:47 509440 fad4579b18a9e134b5bac0a88874e2fd c:windowssystem32winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
2008-03-20 15:28 2469888 —a

c:program filesWebMoney Advisorwmadvisor.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-03-20 2469888]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «c:program filesWebMoney Advisorwmadvisor.dll» [2008-03-20 2469888]

[HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTypeLib{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2008-07-01 3282432]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«HControl»=»c:windowsATK0100HControl.exe» [2005-07-07 102400]
«ATIPTA»=»c:program filesATI TechnologiesATI Control Panelatiptaxx.exe» [2005-05-12 344064]
«SynTPEnh»=»c:program filesSynapticsSynTPSynTPEnh.exe» [2005-05-11 708697]
«WHITNEY_S2P»=»c:program filesSamsungSamsung SCX-4×21 SeriesPSUScan2pc.exe» [2006-03-27 229376]
«QuickTime Task»=»c:windowssystem32qttask.exe» [2008-06-08 98304]
«Amicon VPN Client»=»c:program filesAmiconClient FPSU-IPIP-Client.exe» [2007-02-21 495616]
«SpIDerNT»=»c:progra~1DrWebspiderui.exe» [2007-10-01 214552]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2007-09-19 361712]
«OutpostMonitor»=»c:progra~1AgnitumOUTPOS~1op_mon.exe» [2008-02-29 1065472]
«OutpostFeedBack»=»c:program filesAgnitumOutpost Firewall Profeedback.exe» [2008-02-29 419144]
«RTHDCPL»=»RTHDCPL.EXE» [2005-07-13 c:windowsRTHDCPL.EXE]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentversionpoliciesexplorerRun]
«application»=»c:program filesASPMonitorASMonitor.exe» [2007-05-28 667136]

c:documents and settingsuserѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Total Commander.lnk — c:program filesTotal CommanderTotalcmd.exe [2007-01-25 1058000]

c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Firebird Guardian.lnk — d:program filesExpert SystemsQuick Sales 2 FreeFBBinfbguard.exe [2008-09-06 65536]
Logitech SetPoint.lnk — c:program filesLogitechSetPointSetPoint.exe [2008-11-02 805392]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotifyIntelWireless]
2005-05-31 21:46 110592 c:program filesIntelWirelessBinLgNotify.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotifyLBTWlgn]
2008-05-02 02:42 72208 c:program filesCommon FilesLogishrdBluetoothLBTWLgn.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.iac2″= c:progra~1ACEMEG~1SystemSInteliac25_32.ax
«msacm.sl_anet»= c:progra~1ACEMEG~1SystemSsl_anet.acm
«vidc.yv12″= c:progra~1ACEMEG~1SystemSATIatiyuv12.DLL
«vidc.iyuv»= c:progra~1ACEMEG~1SystemSInteliyuv_32.dll
«vidc.yvu9″= c:progra~1ACEMEG~1SystemSIntelIyvu9_32.dll
«vidc.uyvy»= c:progra~1ACEMEG~1SystemSMICROS~1msyuv.dll
«vidc.yuy2″= c:progra~1ACEMEG~1SystemSMICROS~1msyuv.dll
«vidc.yvyu»= c:progra~1ACEMEG~1SystemSMICROS~1msyuv.dll
«msacm.msaudio1″= c:progra~1ACEMEG~1SystemSMICROS~1msaud32.acm
«vidc.vp31″= vp31vfw.dll
«vidc.3iv2″= 3ivxVfWCodec.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdfLoadGroup]
@=»»

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\ASPMonitor\ASMonitor.exe»=
«c:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe»=
«c:\Program Files\Total Commander\Totalcmd.exe»=
«c:\Program Files\LDC++\LDCPlusPlus.exe»=
«c:\Program Files\WebMoney\WebMoney.exe»=
«d:\Program Files\Expert Systems\Quick Sales 2 Free\FB\Bin\fbserver.exe»=
«c:\Program Files\ICQ6\ICQ.exe»=

R0 Nh;Nh;c:windowssystem32driversNh.sys [2007-04-17 74240]
R1 SandBox;SandBox;c:windowssystem32DRIVERSSandBox.sys [2008-09-18 446976]
R1 tdicf;Amicon TDI filter;c:windowssystem32driverstdicf.sys [2006-02-21 5248]
R2 acssrv;Agnitum Client Security Service;c:progra~1AgnitumOUTPOS~1acs.exe [2008-09-18 1176904]
R2 amupdsvc;Amicon Automatic Updates Service;c:windowssystem32amupdsvc.exe [2006-08-02 53248]
R2 ITECIRService;ITE Remote Control Service;c:windowssystem32RemoteControlService.exe [2008-05-24 656384]
R2 SPIDER;SpIDer Guard File System Monitor;??c:progra~1DrWebspider.sys [2008-09-13 308600]
R2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DrWebspidernt.exe [2008-09-13 218648]
R3 afw;Agnitum firewall driver;c:windowssystem32DRIVERSafw.sys [2008-09-18 206352]
R3 ITECIR;ITE CIR Driver;c:windowssystem32DRIVERSITECIR.sys [2008-05-24 7366]
S2 SSPORT;SSPORT;??c:windowssystem32DriversSSPORT.sys []
S3 Apache2.2;Apache2.2;»c:program filesApache Software FoundationApache2.2binhttpd.exe» -k runservice [2008-01-17 24635]
S3 ASWFilt;ASWFilt;c:windowssystem32FiltASWFilt.dll [2008-09-18 33024]
S3 BKLoad;VPN KeyDevLoader;c:windowssystem32Driversbkload.sys [2006-04-14 81664]
S3 Shipka;VPN KeyDev;c:windowssystem32DriversShipka.sys [2006-06-08 83072]
.
.

Supplementary Scan

.
FireFox -: Profile — c:documents and settingsuserApplication DataMozillaFirefoxProfilesfjg3r8q8.default
FireFox -: prefs.js — STARTUP.HOMEPAGE — http://www.mail.ru
FF -: plugin — c:program filesACE Mega CoDecS PackSystemSRealMediaBrowserpluginsnppl3260.dll
FF -: plugin — c:program filesACE Mega CoDecS PackSystemSRealMediaBrowserpluginsnprpjplug.dll
FF -: plugin — c:program filesAdobeAcrobat 8.0Acrobatbrowsernppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 10:31:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

Other Running Processes

.
c:windowssystem32ati2evxx.exe
c:program filesIntelWirelessBinEvtEng.exe
c:program filesIntelWirelessBinS24EvMon.exe
c:program filesIntelWirelessBinWLKEEPER.exe
c:program filesIntelWirelessBinZCfgSvc.exe
c:windowssystem32ati2evxx.exe
c:program filesCommon FilesAcronisSchedule2schedul2.exe
c:progra~1IntelWirelessBin1XConfig.exe
c:windowsATKKBService.exe
c:program filesCommon FilesMicrosoft SharedVS7DEBUGmdm.exe
c:program filesMicrosoft SQL ServerMSSQL.1MSSQLBinnsqlservr.exe
c:windowssystem32snmptrap.exe
c:program filesMicrosoft SQL Server90Sharedsqlbrowser.exe
c:program filesMicrosoft SQL Server90Sharedsqlwriter.exe
c:program filesCommon FilesAcronisFomatikTrueImageTryStartService.exe
c:windowsATK0100ATKOSD.exe
d:program filesExpert SystemsQuick Sales 2 FreeFBBinfbserver.exe
c:program filesCommon FilesLogishrdKHAL2KHALMNPR.exe
.
**************************************************************************
.
Completion time: 2008-11-16 10:36:42 — machine was rebooted
ComboFix-quarantined-files.txt 2008-11-16 07:36:28
ComboFix2.txt 2008-11-15 11:23:51

Pre-Run: 5 806 194 688 байт свободно
Post-Run: 5,741,142,016 байт свободно

188 — E O F — 2008-11-12 13:31:37
17 ноября, 2008 в 9:10 дп #19787
Admin
Keymaster
- Темы:40
- Сообщений:5676
Откройте блокнот и вставьте в него следующий текст:
```
Registry::

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentversionpoliciesexplorerRun]

"application"=-
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
И конечно-же проверьте InternetExplorer в работе.
Автор

Сообщения