[Alexandra]

Здравствуйте, Valeri! Удалила все вирусы из резервного хранилища карантина, и сделала полное сканирование антивирусом: угроз не обнаружено (только данные в главном меню). Компьютер работает стабильно. Если лог-файл Combofix выглядит нормально, то подскажите, пожалуйста, как удалить с компьютера RSIT и Combofix.
Спасибо, Alexandra.

[Alexandra]

Здравствуйте! Разрешите дополнить моё предыдущее сообщение: при полном сканировании антивирусом «К» я написала, что угроз не обнаружено по отчёту. Но в главном меню антивируса, в рамке «Проверено объектов/обнаружено угроз» — такие данные: вирус — 2, троянская программа — 4. В статусе антивируса HEUR и UDS из карантина не удаляются. Возможно ли удалить их в безопасном режиме? Данные сканирования программой Combofix прилагаются. Большое спасибо, Alexandra.

ComboFix 10-10-11.05 — 1 13.10.2010 2:19.1.2 — x86
Microsoft® Windows Vista™ Home Basic 6.0.6002.2.1251.7.1049.18.2038.1080 [GMT 4:00]
Running from: c:users1DownloadsComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:programdataMicrosoftNetworkDownloaderqmgr0.dat
c:programdataMicrosoftNetworkDownloaderqmgr1.dat
c:users1AppDataRoamingMicrosoftWindowsRecentComfy Cakes.ComfyCakesSave-ms.pif

---

BITS: Possible infected sites

---

hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-09-12 to 2010-10-12 )))))))))))))))))))))))))))))))
.

2010-10-12 11:14 . 2010-09-09 22:52 6084944 —-a-w- c:programdataMicrosoftWindows DefenderDefinition Updates{A68B7C05-E93E-4076-BF95-35F36DF19C4C}mpengine.dll
2010-10-10 19:41 . 2010-10-10 19:42

---

d

---

w- c:program filestrend micro
2010-10-10 19:41 . 2010-10-10 19:42

---

d

---

w- C:rsit
2010-09-29 11:28 . 2010-06-22 13:30 2048 —-a-w- c:windowssystem32tzres.dll
2010-09-29 11:28 . 2010-08-26 04:23 13312 —-a-w- c:program filesInternet Exploreriecompat.dll
2010-09-16 05:38 . 2010-04-16 16:46 502272 —-a-w- c:windowssystem32usp10.dll
2010-09-16 05:38 . 2010-08-17 14:11 128000 —-a-w- c:windowssystem32spoolsv.exe
2010-09-16 05:38 . 2010-04-05 17:02 317952 —-a-w- c:windowssystem32MP4SDECD.DLL
2010-09-16 05:38 . 2010-08-17 10:52 2409784 —-a-w- c:program filesWindows MailOESpamFilter.dat
2010-09-16 05:38 . 2010-05-27 20:08 739328 —-a-w- c:windowssystem32inetcomm.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2010-06-01 10336584]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Sidebar»=»c:program filesWindows Sidebarsidebar.exe» [2009-04-11 1233920]
«OscarEditor»=»c:program filesOSCARK3GOscarEditor.exe» [2009-06-16 3332608]
«ISUSPM»=»c:program filesCommon FilesInstallShieldUpdateServiceISUSPM.exe» [2006-09-11 218032]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Windows Defender»=»c:program filesWindows DefenderMSASCui.exe» [2008-01-21 1008184]
«Apoint»=»c:program filesDellTPadApoint.exe» [2008-07-10 163840]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2008-07-10 150040]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2008-07-10 170520]
«Persistence»=»c:windowssystem32igfxpers.exe» [2008-07-10 141848]
«ITSecMng»=»c:program filesTOSHIBABluetooth Toshiba StackItSecMng.exe» [2007-09-28 75136]
«PDVDDXSrv»=»c:program filesCyberLinkPowerDVD DXPDVDDXSrv.exe» [2008-02-26 128296]
«AVP»=»c:program filesKaspersky LabKaspersky Internet Security 2010avp.exe» [2010-08-18 340520]
«Adobe Reader Speed Launcher»=»c:program filesAdobeReader 8.0ReaderReader_sl.exe» [2008-01-11 39792]
«LoviVkontakte»=»c:program filesLoviVkontaktelovivkontakte.exe» [2009-12-26 739840]
«SunJavaUpdateSched»=»c:program filesCommon FilesJavaJava Updatejusched.exe» [2010-05-14 248552]
«QuickTime Task»=»c:program filesQuickTimeQTTask.exe» [2010-08-10 421888]
«iTunesHelper»=»c:program filesiTunesiTunesHelper.exe» [2010-09-01 421160]

c:programdataMicrosoftWindowsStart MenuProgramsStartup
Bluetooth Manager.lnk — c:program filesToshibaBluetooth Toshiba StackTosBtMng.exe [2008-3-14 2938184]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«EnableUIADesktopToggle»= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=c:progra~1KASPER~1KASPER~1mzvkbd3.dll

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWinDefend]
@=»Service»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001

S0 klbg;Kaspersky Lab Boot Guard Driver;c:windowssystem32driversklbg.sys [2009-10-14 36880]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:windowssystem32DRIVERSklim6.sys [2009-11-03 21520]
S2 LoviVkontakteService;LoviVkontake Service;c:program filesLoviVkontakteVkontakteService.exe [2009-10-14 477184]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:windowssystem32DRIVERSklmouflt.sys [2009-10-02 19472]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Contents of the ‘Scheduled Tasks’ folder

2010-10-12 c:windowsTasksUser_Feed_Synchronization-{310830F8-54FC-454F-819B-50919BEC07D8}.job
— c:windowssystem32msfeedssync.exe [2010-08-13 04:24]
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/?clid=140504
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Добавить в Анти-Баннер — c:program filesKaspersky LabKaspersky Internet Security 2010ie_banner_deny.htm
FF — ProfilePath — c:users1AppDataRoamingMozillaFirefoxProfiles7594zp9g.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://ru.start3.mozilla.com/firefox/?client=firefox-a&rls=org.mozilla:ru:official
FF — component: c:program filesMozilla Firefoxextensionslinkfilter@kaspersky.rucomponentsKavLinkFilter.dll
FF — plugin: c:program filesJavajre6binnew_pluginnpdeployJava1.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesMozilla Firefoxpluginsnp-mswmp.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension

—- FIREFOX POLICIES —-
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.IDN.whitelist.xn--mgbaam7a8h», true);
c:program filesMozilla Firefoxgreprefsall.js — pref(«network.IDN.whitelist.xn--mgberp4a5d4ar», true);
c:program filesMozilla Firefoxdefaultspreffirefox.js — pref(«dom.ipc.plugins.enabled», false);
.
— — — — ORPHANS REMOVED — — — —

AddRemove-tutors_vista — E:uninstall.exe

.

---

LOCKED REGISTRY KEYS

---

[HKEY_LOCAL_MACHINESYSTEMControlSet001ControlClass{4D36E96D-E325-11CE-BFC1-08002BE10318}000AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
«BlindDial»=dword:00000000
.
Completion time: 2010-10-13 02:34:00
ComboFix-quarantined-files.txt 2010-10-12 22:33

Pre-Run: 91 628 888 064 байт свободно
Post-Run: 92 089 872 384 байт свободно

— — End Of File — — 3E35C9C2CF112F1A6F6F774DD1D90B02

[Alexandra]

Здравствуйте! Сделала полное сканирование антивирусом «К» — угроз не обнаружено, но из статуса антивируса HEUR и UDS не удаляются. Помимо этого в статусе обнаружила ещё 2 трояна с высокой критичностью с определением антивируса: «Заражён», которые также не удалить. Работа компьютера несколько замедлена, в частности медленно открываются окна и браузер. Подскажите дальнейшие действия. С благодарностью, Alexandra.

[Автор]

Сообщения