Созданные ответы форума
-
Сообщения
-
Спасибо за помощь, но после 2-ух дней ожидания я решил забить на это и переустановить винду!
закрывайте тему, главнаю проблема ее решена.Все теперь вообще капец! Пока меня небыло дома приезжал 3-ый братик! и я не знаю че он делал, но теперь все нафиг блокировано! Пишит типа у вас нет прав доступа обратитесь к администратору домена. Прочел про это в инете там рекомендуют прогу аваст а она не запускается нет ПРАВ! Че терь делать? Смог зайти олько после удаления папки мои документы второго пользователя, при загрузке компа пишит типа нет файлов и на 1 заход доступ открывается о не ко всему. Как снять ограничения? Авастом не получилось..(((((((((((((((
ДАЖЕ АДМИН КОМПА ОГРАНИЧЕН В ПРАВАХ!Утащу собой на учебу провод для питания компа нафиг!
Про Антивирус:
Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте «Просмотр событий»
Такое появляется после того как пытаешься запустить антивирус. Сам он не запускается, хотя должен.
viewtopic.php?f=3&t=5194 у меня такая же проблемаПро потерю файлов:
One of your disks needs to be…
Windows will now check the disk.…verifying files… (13)
…verifying index… (23)
…verifying security descriptions… (33)вместо точек стандартная шняга написана.
и такое каждый раз после перезагрузки. Теряются непонятные файлы…. ТАМ НЕЧЕМУ ТЕРЯТЬСЯ ТО! Там же одни игры!!!
Еще один вопрос: У меня на компьютере 2 пользователя Администратор, которого не видно при загрузке и обычный пользователь с правами админа. Как сделать чтобы остался только главный Админ и больше не было пользователей?
Возникла другая проблема: после каждой перезагрузки компьютера на одном из локальных дисков ( где только игры ) постоянно происходит восстановление данных в 3 шага. Как сделать чтоб было все ок?
Итак) вроде бы баннер изчез!) Запускаются приложения ниче не блокируется, но Антивирус блокируется групповой политикой ограничения. Как его снять?
Вот лог
ComboFix 10-05-25.05 — Admin 29.05.2010 23:05:00.3.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.711 [GMT 4:00]
Running from: H:ComboFix.exe
Command switches used :: H:CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
«d:windowssystem32a.dll»
«d:windowssystem32f.dll»
«d:windowssystem32hintxx.dll»
«d:windowssystem32jtu.dll»
«d:windowssystem32nfadba.dll»
«d:windowssystem32teceol.dll»
«d:windowssystem32tnpzgga.dll»
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.d:windowssystem32a.dll
d:windowssystem32f.dll
d:windowssystem32hintxx.dll
d:windowssystem32jtu.dll
d:windowssystem32nfadba.dll
d:windowssystem32teceol.dll
d:windowssystem32tnpzgga.dll.
((((((((((((((((((((((((( Files Created from 2010-04-28 to 2010-05-29 )))))))))))))))))))))))))))))))
.2010-05-28 20:39 . 2010-05-28 20:39
d
w- d:documents and settingsAdminLocal SettingsApplication DataPaint.NET
2010-05-27 17:53 . 2010-05-27 17:53
d
w- d:program filestrend micro
2010-05-27 17:53 . 2010-05-27 17:54
d
w- D:rsit
2010-05-27 13:16 . 2010-05-27 13:16
d
w- d:documents and settingsAdminDoctorWeb
2010-05-27 09:35 . 2010-05-27 09:35
d—h—w- d:windowssystem32GroupPolicy
2010-05-26 14:25 . 2010-05-26 17:53
d
w- d:program filesProcess Killer
2010-05-26 14:09 . 2010-05-26 14:09
d
w- d:documents and settingsAdminLocal SettingsApplication DataAnVir
2010-05-25 10:25 . 2010-05-25 17:06
d
w- d:program filesRegCleaner
2010-05-23 14:38 . 2010-05-23 14:38
d
w- d:documents and settingsAdminLocal SettingsApplication DataOblivion
2010-05-23 12:14 . 2010-05-23 12:14
d
w- d:documents and settingsAdminApplication DataNero
2010-05-16 15:42 . 2010-05-16 15:42
d
w- d:documents and settingsLocalServiceLocal SettingsApplication DataESET
2010-05-16 15:28 . 2004-08-18 12:00 25600 —-a-w- d:documents and settingsLocalServiceApplication DataMicrosoftUPnP Device Hostupnphostudhisapi.dll
2010-05-14 13:51 . 2010-05-14 13:51 56 —ha-w- d:windowssystem32ezsidmv.dat
2010-05-14 13:51 . 2010-05-29 14:29
d
w- d:documents and settingsAdminApplication DataskypePM
2010-05-14 13:49 . 2010-05-29 14:29
d
w- d:documents and settingsAdminApplication DataSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:program filesCommon FilesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
r- d:program filesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:documents and settingsAll UsersApplication DataSkype
2010-05-13 19:31 . 2006-07-14 03:33 9984 —-a-w- d:windowssystem32driversgMouUsb.sys
2010-05-13 19:31 . 2006-07-14 03:30 14848 —-a-w- d:windowssystem32driversgHidPnp.sys
2010-05-13 19:31 . 2006-07-12 00:48 17408 —-a-w- d:windowssystem32driversgMouPS2.sys
2010-05-13 19:29 . 2008-04-13 08:54 21504 -c—a-w- d:windowssystem32dllcachehidserv.dll
2010-05-13 19:29 . 2008-04-13 08:54 21504 —-a-w- d:windowssystem32hidserv.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-28 20:41 . 2004-08-18 12:00 76678 —-a-w- d:windowssystem32perfc019.dat
2010-05-28 20:41 . 2004-08-18 12:00 448388 —-a-w- d:windowssystem32perfh019.dat
2010-05-23 14:29 . 2010-05-13 14:53
d—h—w- d:program filesInstallShield Installation Information
2010-05-15 09:09 . 2010-05-13 15:01 69632 —-a-w- d:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-05-13 18:19 . 2010-05-13 18:19 0 —-a-w- d:windowsativpsrm.bin
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:program filesESET
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:documents and settingsAll UsersApplication DataESET
2010-05-13 16:00 . 2010-05-13 15:59
d
w- d:program filesCommon FilesAdobe
2010-05-13 15:55 . 2010-05-13 15:45
d
w- d:documents and settingsAll UsersApplication DataMicrosoft Help
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMicrosoft Works
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMSBuild
2010-05-13 15:50 . 2010-05-13 15:50
d
w- d:program filesMicrosoft.NET
2010-05-13 15:47 . 2010-05-13 15:47
d
w- d:program filesMicrosoft Visual Studio 8
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAdminApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesCommon FilesACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAll UsersApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesACD Systems
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:documents and settingsAdminApplication DataMedia Player Classic
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:program filesXnView
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesCommon FilesNero
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesNero
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:documents and settingsAdminApplication DataCOWON
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesJetAudio
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesCommon FilesCOWON
2010-05-13 15:36 . 2010-05-13 15:36
d
w- d:program filesK-Lite Codec Pack
2010-05-13 15:09 . 2010-05-13 15:09
d
w- d:documents and settingsAdminApplication DataInstallShield
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAll UsersApplication DataATI
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAdminApplication DataATI
2010-05-13 14:56 . 2010-05-13 14:53
d
w- d:program filesATI Technologies
2010-05-13 14:55 . 2010-05-13 14:52
d
w- d:program filesCommon FilesInstallShield
2010-05-13 14:54 . 2010-05-13 14:54 9158 —-a-r- d:documents and settingsAdminApplication DataMicrosoftInstaller{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}ARPPRODUCTICON.exe
2010-05-13 14:54 . 2010-05-13 14:54
d
w- d:program filesCommon FilesATI Technologies
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesmicrosoft frontpage
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesVistaDriveIcon
2010-05-13 14:38 . 2010-05-13 14:38 717296 —-a-w- d:windowssystem32driverssptd.sys
2010-05-13 14:38 . 2010-05-13 14:37
d
w- d:program filesJava
2010-05-13 14:37 . 2010-05-13 14:37
d
w- d:program filesCommon FilesJava
2010-05-13 14:33 . 2010-05-13 14:32 86327 —-a-w- d:windowspchealthhelpctrOfflineCacheindex.dat
2010-05-13 14:30 . 2010-05-13 14:30 22564 —-a-w- d:windowssystem32emptyregdb.dat
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesWindows Media Connect 2
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesPaint.NET
.
Sigcheck
[-] 2008-04-14 . EDF9CAC3E377B61B2581E28CE810A7E0 . 360832 . . [5.1.2600.3244] . . d:windowssystem32driverstcpip.sys[-] 2008-04-13 . EDC51E3EE4ED8B30BBAFFAF8FBD177A2 . 80216 . . [7.0.6000.381] . . d:windowssystem32wuauclt.exe
[-] 2008-04-13 . 196B409A7C1C39A5A0F7566C2741FAD1 . 578560 . . [5.1.2600.3099] . . d:windowssystem32user32.dll
[-] 2008-04-13 . 77A84AFA75CDC7D12BF5579AB39881AE . 1720832 . . [6.00.2900.3156] . . d:windowsexplorer.exe
[-] 2008-04-14 . 9E62E0CDEC5617D03A1598040E73A70B . 1548288 . . [5.1.2600.2180] . . d:windowssystem32sfcfiles.dll
[-] 2008-04-13 . D5FDF4067F445834C3C7ECD66C51D139 . 30208 . . [5.1.2600.2180] . . d:windowssystem32ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-05-27_13.07.05 )))))))))))))))))))))))))))))))))))))))))
.
— 2004-08-18 12:00 . 2010-05-13 14:51 63528 d:windowssystem32perfc009.dat
+ 2004-08-18 12:00 . 2010-05-28 20:41 63528 d:windowssystem32perfc009.dat
+ 2004-08-18 12:00 . 2010-05-28 20:44 98408 d:windowssystem32dllcacheevtquery.vbs
— 2004-08-18 12:00 . 2004-08-18 12:00 98408 d:windowssystem32dllcacheevtquery.vbs
+ 2004-08-18 12:00 . 2010-05-28 20:41 406328 d:windowssystem32perfh009.dat
— 2004-08-18 12:00 . 2010-05-13 14:51 406328 d:windowssystem32perfh009.dat
+ 2010-05-13 18:11 . 2010-05-29 14:27 268600 d:windowssystem32FNTCACHE.DAT
— 2010-05-13 18:11 . 2010-05-15 09:07 268600 d:windowssystem32FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Skype»=»d:program filesSkypePhoneSkype.exe» [2009-12-08 26694952][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Process Killer»=»d:program filesProcess Killerprkiller.exe» [2005-07-30 38400]
«StartCCC»=»d:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-08-01 61440]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«ioCentre»=»d:geniusioCentregTaskBar.exe» [2006-12-08 241664]
«GrooveMonitor»=»d:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2006-10-26 31016]
«egui»=»d:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2008-04-13 30208]
«VistaIcon»=»d:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-04-14 124928]
«IE7_012″=»advpack.dll» [2008-04-14 124928]d:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — d:program filesAdobeReader 8.0Readerreader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk — d:program filesAdobeReader 8.0ReaderAdobeCollabSync.exe [2006-10-23 734872][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«d:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«d:\Program Files\Skype\Phone\Skype.exe»=R0 nvcchflt;NVIDIA Disk Cache Filter Driver;d:windowssystem32driversnvcchflt.sys [13.05.2010 22:13 16640]
R1 epfwtdir;epfwtdir;d:windowssystem32driversepfwtdir.sys [01.07.2008 9:04 34312]
R2 ekrn;Eset Service;d:program filesESETESET NOD32 Antivirusekrn.exe [01.07.2008 9:02 468224]
R3 gHidPnp;USB Device Enhanced Function Driver;d:windowssystem32driversgHidPnp.sys [13.05.2010 23:31 14848]
R3 gMouUsb;USB Mouse Device Drv;d:windowssystem32driversgMouUsb.sys [13.05.2010 23:31 9984]
S0 sptd;sptd;d:windowssystem32driverssptd.sys [13.05.2010 18:38 717296]
S3 gMouPS2;PS2 Scroll Mouse Device;d:windowssystem32driversgMouPS2.sys [13.05.2010 23:31 17408]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.kornet.ru
IE: &Экспорт в Microsoft Excel — d:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} — {898EA8C8-E7FF-479B-8935-AEC46303B9E5} — d:program filesSkypeToolbarsInternet Explorerskypeieplugin.dll
TCP: {42BE82DA-E9E9-4727-B746-D2759E50CF04} = 89.151.191.2,89.151.190.213
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-29 23:11
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
d:windowssystem32:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowsmsdfmap.ini:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowssystem32telephon.cpl:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowssystem32ac3acm.acm:exaSnrGYA9hVeDZGvARl 158208 bytes executablescan completed successfully
hidden files: 4**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(900)
d:windowssystem32SETUPAPI.dll
d:windowssystem32Ati2evxx.dll
d:windowssystem32cscui.dll
d:windowssystem32COMRes.dll— — — — — — — > ‘lsass.exe'(956)
d:windowssystem32SETUPAPI.dll
.
Completion time: 2010-05-29 23:14:24
ComboFix-quarantined-files.txt 2010-05-29 19:14
ComboFix2.txt 2010-05-28 20:57Pre-Run: 37 533 888 512 байт свободно
Post-Run: 37 528 059 904 байт свободно— — End Of File — — 7B6837D5DE2D34D16E33C9893D686BA8
Теперь у меня все вери гуд?)
если че то будет нитак напишу сюда же)
Большое спасибо!!!!)))))
А как вы создаете такие скрипты? Могу я научиться этому?Не знаю все ли я правильно сделал, по ходу начала проверки возникали вопросы на англ языке где был выбор ДА-НЕТ я нажимал ДА.
И отчет от Combofix
ComboFix 10-05-25.05 — Admin 29.05.2010 0:47.2.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.711 [GMT 4:00]
Running from: H:ComboFix.exe
Command switches used :: H:CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
«d:windowssystem32ajetfzjvt.dll»
«d:windowssystem32caxit.dll»
«d:windowssystem32ih.dll»
«d:windowssystem32imwqgyn.dll»
«d:windowssystem32ju.dll»
«d:windowssystem32ml.dll»
«d:windowssystem32piadxnv.dll»
«d:windowssystem32spwli.dll»
«d:windowssystem32tymjzjlb.dll»
«d:windowssystem32xdvooj.dll»
«d:windowssystem32xldfpvjqh.dll»
«d:windowssystem32zthwje.dll»
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.d:windowssystem32ajetfzjvt.dll
d:windowssystem32caxit.dll
d:windowssystem32ih.dll
d:windowssystem32imwqgyn.dll
d:windowssystem32ju.dll
d:windowssystem32ml.dll
d:windowssystem32piadxnv.dll
d:windowssystem32spwli.dll
d:windowssystem32tymjzjlb.dll
d:windowssystem32xdvooj.dll
d:windowssystem32xldfpvjqh.dll
d:windowssystem32zthwje.dll.
((((((((((((((((((((((((( Files Created from 2010-04-28 to 2010-05-28 )))))))))))))))))))))))))))))))
.2010-05-28 20:44 . 2010-05-28 20:44 158208 —-a-w- d:windowssystem32nfadba.dll
2010-05-28 20:44 . 2010-05-28 20:44 158208 —-a-w- d:windowssystem32tnpzgga.dll
2010-05-28 20:44 . 2010-05-28 20:44 158208 —-a-w- d:windowssystem32hintxx.dll
2010-05-28 20:44 . 2010-05-28 20:44 158208 —-a-w- d:windowssystem32f.dll
2010-05-28 20:44 . 2010-05-28 20:44 158208 —-a-w- d:windowssystem32a.dll
2010-05-28 20:43 . 2010-05-28 20:43 158208 —-a-w- d:windowssystem32jtu.dll
2010-05-28 20:43 . 2010-05-28 20:43 158208 —-a-w- d:windowssystem32teceol.dll
2010-05-28 20:39 . 2010-05-28 20:39
d
w- d:documents and settingsAdminLocal SettingsApplication DataPaint.NET
2010-05-27 17:53 . 2010-05-27 17:53
d
w- d:program filestrend micro
2010-05-27 17:53 . 2010-05-27 17:54
d
w- D:rsit
2010-05-27 13:16 . 2010-05-27 13:16
d
w- d:documents and settingsAdminDoctorWeb
2010-05-27 09:35 . 2010-05-27 09:35
d—h—w- d:windowssystem32GroupPolicy
2010-05-26 14:25 . 2010-05-26 17:53
d
w- d:program filesProcess Killer
2010-05-26 14:09 . 2010-05-26 14:09
d
w- d:documents and settingsAdminLocal SettingsApplication DataAnVir
2010-05-25 10:25 . 2010-05-25 17:06
d
w- d:program filesRegCleaner
2010-05-23 14:38 . 2010-05-23 14:38
d
w- d:documents and settingsAdminLocal SettingsApplication DataOblivion
2010-05-23 12:14 . 2010-05-23 12:14
d
w- d:documents and settingsAdminApplication DataNero
2010-05-16 15:42 . 2010-05-16 15:42
d
w- d:documents and settingsLocalServiceLocal SettingsApplication DataESET
2010-05-16 15:28 . 2004-08-18 12:00 25600 —-a-w- d:documents and settingsLocalServiceApplication DataMicrosoftUPnP Device Hostupnphostudhisapi.dll
2010-05-14 13:51 . 2010-05-14 13:51 56 —ha-w- d:windowssystem32ezsidmv.dat
2010-05-14 13:51 . 2010-05-28 20:38
d
w- d:documents and settingsAdminApplication DataskypePM
2010-05-14 13:49 . 2010-05-28 20:40
d
w- d:documents and settingsAdminApplication DataSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:program filesCommon FilesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
r- d:program filesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:documents and settingsAll UsersApplication DataSkype
2010-05-13 19:31 . 2006-07-14 03:33 9984 —-a-w- d:windowssystem32driversgMouUsb.sys
2010-05-13 19:31 . 2006-07-14 03:30 14848 —-a-w- d:windowssystem32driversgHidPnp.sys
2010-05-13 19:31 . 2006-07-12 00:48 17408 —-a-w- d:windowssystem32driversgMouPS2.sys
2010-05-13 19:29 . 2008-04-13 08:54 21504 -c—a-w- d:windowssystem32dllcachehidserv.dll
2010-05-13 19:29 . 2008-04-13 08:54 21504 —-a-w- d:windowssystem32hidserv.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-28 20:41 . 2004-08-18 12:00 76678 —-a-w- d:windowssystem32perfc019.dat
2010-05-28 20:41 . 2004-08-18 12:00 448388 —-a-w- d:windowssystem32perfh019.dat
2010-05-23 14:29 . 2010-05-13 14:53
d—h—w- d:program filesInstallShield Installation Information
2010-05-15 09:09 . 2010-05-13 15:01 69632 —-a-w- d:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-05-13 18:19 . 2010-05-13 18:19 0 —-a-w- d:windowsativpsrm.bin
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:program filesESET
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:documents and settingsAll UsersApplication DataESET
2010-05-13 16:00 . 2010-05-13 15:59
d
w- d:program filesCommon FilesAdobe
2010-05-13 15:55 . 2010-05-13 15:45
d
w- d:documents and settingsAll UsersApplication DataMicrosoft Help
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMicrosoft Works
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMSBuild
2010-05-13 15:50 . 2010-05-13 15:50
d
w- d:program filesMicrosoft.NET
2010-05-13 15:47 . 2010-05-13 15:47
d
w- d:program filesMicrosoft Visual Studio 8
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAdminApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesCommon FilesACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAll UsersApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesACD Systems
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:documents and settingsAdminApplication DataMedia Player Classic
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:program filesXnView
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesCommon FilesNero
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesNero
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:documents and settingsAdminApplication DataCOWON
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesJetAudio
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesCommon FilesCOWON
2010-05-13 15:36 . 2010-05-13 15:36
d
w- d:program filesK-Lite Codec Pack
2010-05-13 15:09 . 2010-05-13 15:09
d
w- d:documents and settingsAdminApplication DataInstallShield
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAll UsersApplication DataATI
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAdminApplication DataATI
2010-05-13 14:56 . 2010-05-13 14:53
d
w- d:program filesATI Technologies
2010-05-13 14:55 . 2010-05-13 14:52
d
w- d:program filesCommon FilesInstallShield
2010-05-13 14:54 . 2010-05-13 14:54 9158 —-a-r- d:documents and settingsAdminApplication DataMicrosoftInstaller{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}ARPPRODUCTICON.exe
2010-05-13 14:54 . 2010-05-13 14:54
d
w- d:program filesCommon FilesATI Technologies
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesmicrosoft frontpage
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesVistaDriveIcon
2010-05-13 14:38 . 2010-05-13 14:38 717296 —-a-w- d:windowssystem32driverssptd.sys
2010-05-13 14:38 . 2010-05-13 14:37
d
w- d:program filesJava
2010-05-13 14:37 . 2010-05-13 14:37
d
w- d:program filesCommon FilesJava
2010-05-13 14:33 . 2010-05-13 14:32 86327 —-a-w- d:windowspchealthhelpctrOfflineCacheindex.dat
2010-05-13 14:30 . 2010-05-13 14:30 22564 —-a-w- d:windowssystem32emptyregdb.dat
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesWindows Media Connect 2
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesPaint.NET
.
Sigcheck
[-] 2008-04-14 . EDF9CAC3E377B61B2581E28CE810A7E0 . 360832 . . [5.1.2600.3244] . . d:windowssystem32driverstcpip.sys[-] 2008-04-13 . EDC51E3EE4ED8B30BBAFFAF8FBD177A2 . 80216 . . [7.0.6000.381] . . d:windowssystem32wuauclt.exe
[-] 2008-04-13 . 196B409A7C1C39A5A0F7566C2741FAD1 . 578560 . . [5.1.2600.3099] . . d:windowssystem32user32.dll
[-] 2008-04-13 . 77A84AFA75CDC7D12BF5579AB39881AE . 1720832 . . [6.00.2900.3156] . . d:windowsexplorer.exe
[-] 2008-04-14 . 9E62E0CDEC5617D03A1598040E73A70B . 1548288 . . [5.1.2600.2180] . . d:windowssystem32sfcfiles.dll
[-] 2008-04-13 . D5FDF4067F445834C3C7ECD66C51D139 . 30208 . . [5.1.2600.2180] . . d:windowssystem32ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-05-27_13.07.05 )))))))))))))))))))))))))))))))))))))))))
.
— 2004-08-18 12:00 . 2010-05-13 14:51 63528 d:windowssystem32perfc009.dat
+ 2004-08-18 12:00 . 2010-05-28 20:41 63528 d:windowssystem32perfc009.dat
+ 2004-08-18 12:00 . 2010-05-28 20:44 98408 d:windowssystem32dllcacheevtquery.vbs
— 2004-08-18 12:00 . 2004-08-18 12:00 98408 d:windowssystem32dllcacheevtquery.vbs
+ 2004-08-18 12:00 . 2010-05-28 20:41 406328 d:windowssystem32perfh009.dat
— 2004-08-18 12:00 . 2010-05-13 14:51 406328 d:windowssystem32perfh009.dat
+ 2010-05-13 18:11 . 2010-05-27 17:46 268600 d:windowssystem32FNTCACHE.DAT
— 2010-05-13 18:11 . 2010-05-15 09:07 268600 d:windowssystem32FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Skype»=»d:program filesSkypePhoneSkype.exe» [2009-12-08 26694952][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Process Killer»=»d:program filesProcess Killerprkiller.exe» [2005-07-30 38400]
«StartCCC»=»d:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-08-01 61440]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«ioCentre»=»d:geniusioCentregTaskBar.exe» [2006-12-08 241664]
«GrooveMonitor»=»d:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2006-10-26 31016]
«egui»=»d:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2008-04-13 30208]
«VistaIcon»=»d:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-04-14 124928]
«IE7_012″=»advpack.dll» [2008-04-14 124928]d:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — d:program filesAdobeReader 8.0Readerreader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk — d:program filesAdobeReader 8.0ReaderAdobeCollabSync.exe [2006-10-23 734872][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«d:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«d:\Program Files\Skype\Phone\Skype.exe»=R0 nvcchflt;NVIDIA Disk Cache Filter Driver;d:windowssystem32driversnvcchflt.sys [13.05.2010 22:13 16640]
R1 epfwtdir;epfwtdir;d:windowssystem32driversepfwtdir.sys [01.07.2008 9:04 34312]
R2 ekrn;Eset Service;d:program filesESETESET NOD32 Antivirusekrn.exe [01.07.2008 9:02 468224]
R3 gHidPnp;USB Device Enhanced Function Driver;d:windowssystem32driversgHidPnp.sys [13.05.2010 23:31 14848]
R3 gMouUsb;USB Mouse Device Drv;d:windowssystem32driversgMouUsb.sys [13.05.2010 23:31 9984]
S0 sptd;sptd;d:windowssystem32driverssptd.sys [13.05.2010 18:38 717296]
S3 gMouPS2;PS2 Scroll Mouse Device;d:windowssystem32driversgMouPS2.sys [13.05.2010 23:31 17408]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.kornet.ru
IE: &Экспорт в Microsoft Excel — d:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} — {898EA8C8-E7FF-479B-8935-AEC46303B9E5} — d:program filesSkypeToolbarsInternet Explorerskypeieplugin.dll
TCP: {42BE82DA-E9E9-4727-B746-D2759E50CF04} = 89.151.191.2,89.151.190.213
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-29 00:54
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
d:windowssystem32:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowsmsdfmap.ini:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowssystem32telephon.cpl:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowssystem32ac3acm.acm:exaSnrGYA9hVeDZGvARl 158208 bytes executablescan completed successfully
hidden files: 4**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(900)
d:windowssystem32SETUPAPI.dll
d:windowssystem32Ati2evxx.dll
d:windowssystem32cscui.dll
d:windowssystem32COMRes.dll— — — — — — — > ‘lsass.exe'(956)
d:windowssystem32SETUPAPI.dll
.
Completion time: 2010-05-29 00:57:26
ComboFix-quarantined-files.txt 2010-05-28 20:57Pre-Run: 37 534 429 184 байт свободно
Post-Run: 37 529 018 368 байт свободно— — End Of File — — C49F1C5A5747E92C1D9502B42E1D5BEA
И от ComboFix
ComboFix 10-05-25.05 — Admin 27.05.2010 17:00:08.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.627 [GMT 4:00]
Running from: H:ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is activeWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.d:program filesCommon Fileskeylog.txt
d:windowsdel.bat
d:windowssystem32Пузыри.scr
d:windowssystem32srnh.lto
d:windowssystem32ssField Lines.scr
d:windowssystem32ssRibbons.scr
d:windowssystem32SYSINTERNALS_BLUESCREEN.SCR
d:windowssystem32Vb40016.dll
d:windowssystem32Vb40032.dll.
((((((((((((((((((((((((( Files Created from 2010-04-27 to 2010-05-27 )))))))))))))))))))))))))))))))
.2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32imwqgyn.dll
2010-05-27 12:45 . 2010-05-27 12:45 158208 —-a-w- d:windowssystem32ml.dll
2010-05-27 11:52 . 2010-05-27 11:52 158208 —-a-w- d:windowssystem32xldfpvjqh.dll
2010-05-27 10:30 . 2010-05-27 10:30 158208 —-a-w- d:windowssystem32ih.dll
2010-05-27 09:35 . 2010-05-27 09:35
d—h—w- d:windowssystem32GroupPolicy
2010-05-26 14:25 . 2010-05-26 17:53
d
w- d:program filesProcess Killer
2010-05-26 14:09 . 2010-05-26 14:09
d
w- d:documents and settingsAdminLocal SettingsApplication DataAnVir
2010-05-25 10:25 . 2010-05-25 17:06
d
w- d:program filesRegCleaner
2010-05-23 14:38 . 2010-05-23 14:38
d
w- d:documents and settingsAdminLocal SettingsApplication DataOblivion
2010-05-23 12:14 . 2010-05-23 12:14
d
w- d:documents and settingsAdminApplication DataNero
2010-05-16 15:42 . 2010-05-16 15:42
d
w- d:documents and settingsLocalServiceLocal SettingsApplication DataESET
2010-05-16 15:28 . 2004-08-18 12:00 25600 —-a-w- d:documents and settingsLocalServiceApplication DataMicrosoftUPnP Device Hostupnphostudhisapi.dll
2010-05-14 13:51 . 2010-05-14 13:51 56 —ha-w- d:windowssystem32ezsidmv.dat
2010-05-14 13:51 . 2010-05-27 12:05
d
w- d:documents and settingsAdminApplication DataskypePM
2010-05-14 13:49 . 2010-05-27 12:48
d
w- d:documents and settingsAdminApplication DataSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:program filesCommon FilesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
r- d:program filesSkype
2010-05-14 13:49 . 2010-05-14 13:49
d
w- d:documents and settingsAll UsersApplication DataSkype
2010-05-13 19:31 . 2006-07-14 03:33 9984 —-a-w- d:windowssystem32driversgMouUsb.sys
2010-05-13 19:31 . 2006-07-14 03:30 14848 —-a-w- d:windowssystem32driversgHidPnp.sys
2010-05-13 19:31 . 2006-07-12 00:48 17408 —-a-w- d:windowssystem32driversgMouPS2.sys
2010-05-13 19:29 . 2008-04-13 08:54 21504 -c—a-w- d:windowssystem32dllcachehidserv.dll
2010-05-13 19:29 . 2008-04-13 08:54 21504 —-a-w- d:windowssystem32hidserv.dll.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-27 12:57 . 2010-05-27 12:57 158208 —-a-w- d:windowssystem32ajetfzjvt.dll
2010-05-27 12:57 . 2010-05-27 12:57 158208 —-a-w- d:windowssystem32spwli.dll
2010-05-27 12:57 . 2010-05-27 12:57 158208 —-a-w- d:windowssystem32piadxnv.dll
2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32xdvooj.dll
2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32caxit.dll
2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32tymjzjlb.dll
2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32ju.dll
2010-05-27 12:56 . 2010-05-27 12:56 158208 —-a-w- d:windowssystem32zthwje.dll
2010-05-23 14:29 . 2010-05-13 14:53
d—h—w- d:program filesInstallShield Installation Information
2010-05-15 09:09 . 2010-05-13 15:01 69632 —-a-w- d:documents and settingsAdminLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-05-13 18:19 . 2010-05-13 18:19 0 —-a-w- d:windowsativpsrm.bin
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:program filesESET
2010-05-13 16:36 . 2010-05-13 16:36
d
w- d:documents and settingsAll UsersApplication DataESET
2010-05-13 16:00 . 2010-05-13 15:59
d
w- d:program filesCommon FilesAdobe
2010-05-13 15:55 . 2010-05-13 15:45
d
w- d:documents and settingsAll UsersApplication DataMicrosoft Help
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMicrosoft Works
2010-05-13 15:51 . 2010-05-13 15:51
d
w- d:program filesMSBuild
2010-05-13 15:50 . 2010-05-13 15:50
d
w- d:program filesMicrosoft.NET
2010-05-13 15:47 . 2010-05-13 15:47
d
w- d:program filesMicrosoft Visual Studio 8
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAdminApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesCommon FilesACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:documents and settingsAll UsersApplication DataACD Systems
2010-05-13 15:43 . 2010-05-13 15:43
d
w- d:program filesACD Systems
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:documents and settingsAdminApplication DataMedia Player Classic
2010-05-13 15:41 . 2010-05-13 15:41
d
w- d:program filesXnView
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesCommon FilesNero
2010-05-13 15:39 . 2010-05-13 15:39
d
w- d:program filesNero
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:documents and settingsAdminApplication DataCOWON
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesJetAudio
2010-05-13 15:37 . 2010-05-13 15:37
d
w- d:program filesCommon FilesCOWON
2010-05-13 15:36 . 2010-05-13 15:36
d
w- d:program filesK-Lite Codec Pack
2010-05-13 15:09 . 2010-05-13 15:09
d
w- d:documents and settingsAdminApplication DataInstallShield
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAll UsersApplication DataATI
2010-05-13 15:01 . 2010-05-13 15:01
d
w- d:documents and settingsAdminApplication DataATI
2010-05-13 14:56 . 2010-05-13 14:53
d
w- d:program filesATI Technologies
2010-05-13 14:55 . 2010-05-13 14:52
d
w- d:program filesCommon FilesInstallShield
2010-05-13 14:54 . 2010-05-13 14:54 9158 —-a-r- d:documents and settingsAdminApplication DataMicrosoftInstaller{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}ARPPRODUCTICON.exe
2010-05-13 14:54 . 2010-05-13 14:54
d
w- d:program filesCommon FilesATI Technologies
2010-05-13 14:51 . 2004-08-18 12:00 76678 —-a-w- d:windowssystem32perfc019.dat
2010-05-13 14:51 . 2004-08-18 12:00 448388 —-a-w- d:windowssystem32perfh019.dat
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesmicrosoft frontpage
2010-05-13 14:38 . 2010-05-13 14:38
d
w- d:program filesVistaDriveIcon
2010-05-13 14:38 . 2010-05-13 14:38 717296 —-a-w- d:windowssystem32driverssptd.sys
2010-05-13 14:38 . 2010-05-13 14:37
d
w- d:program filesJava
2010-05-13 14:37 . 2010-05-13 14:37
d
w- d:program filesCommon FilesJava
2010-05-13 14:33 . 2010-05-13 14:32 86327 —-a-w- d:windowspchealthhelpctrOfflineCacheindex.dat
2010-05-13 14:30 . 2010-05-13 14:30 22564 —-a-w- d:windowssystem32emptyregdb.dat
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesWindows Media Connect 2
2010-05-13 14:29 . 2010-05-13 14:29
d
w- d:program filesPaint.NET
.
Sigcheck
[-] 2008-04-14 . EDF9CAC3E377B61B2581E28CE810A7E0 . 360832 . . [5.1.2600.3244] . . d:windowssystem32driverstcpip.sys[-] 2008-04-13 . EDC51E3EE4ED8B30BBAFFAF8FBD177A2 . 80216 . . [7.0.6000.381] . . d:windowssystem32wuauclt.exe
[-] 2008-04-13 . 196B409A7C1C39A5A0F7566C2741FAD1 . 578560 . . [5.1.2600.3099] . . d:windowssystem32user32.dll
[-] 2008-04-13 . 77A84AFA75CDC7D12BF5579AB39881AE . 1720832 . . [6.00.2900.3156] . . d:windowsexplorer.exe
[-] 2008-04-14 . 9E62E0CDEC5617D03A1598040E73A70B . 1548288 . . [5.1.2600.2180] . . d:windowssystem32sfcfiles.dll
[-] 2008-04-13 . D5FDF4067F445834C3C7ECD66C51D139 . 30208 . . [5.1.2600.2180] . . d:windowssystem32ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Skype»=»d:program filesSkypePhoneSkype.exe» [2009-12-08 26694952][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Process Killer»=»d:program filesProcess Killerprkiller.exe» [2005-07-30 38400]
«StartCCC»=»d:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe» [2008-08-01 61440]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«ioCentre»=»d:geniusioCentregTaskBar.exe» [2006-12-08 241664]
«GrooveMonitor»=»d:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2006-10-26 31016]
«egui»=»d:program filesESETESET NOD32 Antivirusegui.exe» [2008-07-01 1447168][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»d:windowssystem32CTFMON.EXE» [2008-04-13 30208]
«VistaIcon»=»d:program filesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-04-14 124928]
«IE7_012″=»advpack.dll» [2008-04-14 124928]d:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Reader Speed Launch.lnk — d:program filesAdobeReader 8.0Readerreader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk — d:program filesAdobeReader 8.0ReaderAdobeCollabSync.exe [2006-10-23 734872][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=d:windowssystem32xldfpvjqh.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=R0 nvcchflt;NVIDIA Disk Cache Filter Driver;d:windowssystem32driversnvcchflt.sys [13.05.2010 22:13 16640]
R1 epfwtdir;epfwtdir;d:windowssystem32driversepfwtdir.sys [01.07.2008 9:04 34312]
R2 ekrn;Eset Service;d:program filesESETESET NOD32 Antivirusekrn.exe [01.07.2008 9:02 468224]
R3 gHidPnp;USB Device Enhanced Function Driver;d:windowssystem32driversgHidPnp.sys [13.05.2010 23:31 14848]
R3 gMouUsb;USB Mouse Device Drv;d:windowssystem32driversgMouUsb.sys [13.05.2010 23:31 9984]
S0 sptd;sptd;d:windowssystem32driverssptd.sys [13.05.2010 18:38 717296]
S3 gMouPS2;PS2 Scroll Mouse Device;d:windowssystem32driversgMouPS2.sys [13.05.2010 23:31 17408]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.kornet.ru
IE: &Экспорт в Microsoft Excel — d:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} — {898EA8C8-E7FF-479B-8935-AEC46303B9E5} — d:program filesSkypeToolbarsInternet Explorerskypeieplugin.dll
TCP: {42BE82DA-E9E9-4727-B746-D2759E50CF04} = 89.151.191.2,89.151.190.213
.**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-27 17:07
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
d:windowssystem32:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowsmsdfmap.ini:exaSnrGYA9hVeDZGvARl 158208 bytes executable
d:windowssystem32telephon.cpl:exaSnrGYA9hVeDZGvARl 158208 bytes executablescan completed successfully
hidden files: 3**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(904)
d:windowssystem32SETUPAPI.dll
d:windowssystem32Ati2evxx.dll
d:windowssystem32cscui.dll
d:windowssystem32COMRes.dll— — — — — — — > ‘lsass.exe'(960)
d:windowssystem32SETUPAPI.dll
.
Completion time: 2010-05-27 17:09:47
ComboFix-quarantined-files.txt 2010-05-27 13:09Pre-Run: 37 509 169 152 байт свободно
Post-Run: 37 535 408 128 байт свободно— — End Of File — — F885C97B70334390EDBB96E25E000FEE
Вроде все что знал и делел написал.
Очеь надеюсь на вашу помощь 😥
