Созданные ответы форума
-
Сообщения
-
неуверен, но возможна эта прога шла с установкой винды, ну знаете как это бывает, полностью автоматическая установка винды с набором утилит и дров…
Я ей не пользуюсь, к тому же в пуске-автозагрузка-HDDLife он его не находит…
удалить автозапуск путем выделения этой строки и нажатием на кнопку Fix?Странно, но через несколько подлючений, уже не видно левой закачки, возможно я поторопился с выводами, но подозрения все же есть, давай те тогда просто ради профилактики проверим…
Заранее благодарен.как я понял в опере он не работает, загрузился в IE, в момент загрузки антивирусных баз данных вывел ошибку и то что дальнейшая проверка не возможна:
Выполняется обновление антивирусных баз. Пожалуйста, подождите…
Загрузка с адреса: ftp://downloads4.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: ftp://downloads2.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: http://downloads1.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: http://downloads2.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: http://downloads4.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: ftp://downloads1.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Загрузка с адреса: ftp://downloads4.kaspersky-labs.com
Загрузка удаленного файла: master.xml
Загрузка удаленного файла: kavset.xml
Обновление завершено с ошибкой. Дальнейшая антивирусная проверка невозможна!Внимание! Для активации Kaspersky Online Scanner необходимо активное интернет-соединение. Последние антивирусные базы должны быть загружены до начала проверки, иначе защита от новых вирусов не гарантируется. [21]
интернет соединение не прерывалось…
я думаю это уже лишнее, поживу пока так и посмотрю, если что то будет не так или будут подозрения, сразу же сообщу вам.
Благодарю вас еще раз за помощь. 🙂Блокировка портов пропала после работы ComboFix, но меня все еще смущают запущенные процессы, тот же svchost, в момент заражения их было 8, после чистки стало 6, но на моей памяти их было всегда не больше 5ти и еще кое какие процессы меня смущают:
HPZipm12.exe
lsass.exe
Mctray -возможно это от макафи
naPrdMgr
NetworkLicenseServer.exe
По поводу программ с интернета, в последнее время(3-5 дней) ничего не качал, мне кажеться если это повторное зарожение, то возможно оно могло придти с флешки…Вот еще что интересногго нашел, помогите пожалуста разобраться, просканировал диск С:, нашел:
C:Program FilesOperaACMiscobook pluginOBhook.dll зафиксировал как Generic Downloader.x, тип Trojan, как только зашел в эту папку и выделил его, антивирус тут же его удалил…
C:Program FilesTotal CommanderPluginsarcDefault.sfx зафиксировал как Generic.dx тип Trojan, как только зашел в эту папку и выделил его, антивирус тут же его удалил…Лог файл от ComboFix:
ComboFix 08-10-04.07 — Admin 2008-10-05 18:45:33.5 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1629 [GMT 4:00]
Running from: C:Documents and SettingsAdminРабочий столComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS — svchost.exe: deleted 25088 bytes in 1 streams.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:WINDOWSservices.exe
C:WINDOWSsystem32a.exe.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_FCI
Service_FCI((((((((((((((((((((((((( Files Created from 2008-09-05 to 2008-10-05 )))))))))))))))))))))))))))))))
.2008-09-29 01:07 . 2008-09-29 01:08
d
C:Program FilesMMetro
2008-09-23 18:20 . 2008-09-23 18:20d
C:Program FilesCreative
2008-09-23 18:20 . 2002-06-06 14:38 139,264 —a
C:WINDOWSsystem32eax.dll
2008-09-23 18:14 . 2003-04-16 16:49 233,472 -ra
C:WINDOWSsystem32MafiaSetup.exe
2008-09-22 21:38 . 2008-09-22 21:38d
C:TempPDFT20
2008-09-22 21:38 . 2008-09-22 21:38d
C:Temp
2008-09-22 21:09 . 2008-09-22 21:09d
C:WINDOWSsystem323Planesoft
2008-09-22 21:09 . 2008-09-22 21:09d
C:Program FilesEarth 3D Screensaver
2008-09-22 21:09 . 2008-09-22 21:09d
C:Program Files3Planesoft Screensaver Manager
2008-09-22 21:09 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-22 21:09 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-22 21:09 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-22 21:09 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-09-19 00:21 . 2006-01-14 06:25 81,920 —a
C:WINDOWSsystem32ImageDrive.cpl
2008-09-18 12:49 . 2008-09-18 12:49d
C:Documents and SettingsAdminApplication DataRadmin Communication Client
2008-09-18 12:48 . 2008-09-18 12:48d
C:Documents and SettingsAdminApplication DataRadmin
2008-09-15 23:21 . 2008-10-04 15:14d
C:Program FilesBeeOnLine-Express 2.0
2008-09-12 23:13 . 2008-09-12 23:13d
C:Documents and SettingsAll UsersApplication DataFLEXnet
2008-09-12 22:34 . 2008-09-12 22:34 486 —a
C:rb_config.js
2008-09-11 11:44 . 2008-09-11 11:45 38 —a
C:WINDOWSavisplitter.INI
2008-09-09 20:07 . 2008-10-01 09:46d
C:Program FilesSpybot — Search & Destroy
2008-09-09 20:07 . 2008-10-01 10:05d
C:Documents and SettingsAll UsersApplication DataSpybot — Search & Destroy
2008-09-08 23:55 . 2008-09-08 23:55d
C:Documents and SettingsAdminApplication DataBinarySense
2008-09-08 17:55 . 2008-10-01 17:50d
C:QUARANTINE
2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57d
C:Program FilesTrend Micro.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-05 14:43
d
w C:Documents and SettingsAdminApplication DatauTorrent
2008-10-05 10:58
d
w C:Documents and SettingsAdminApplication DataThe Bat!
2008-10-05 09:01
d
w C:Documents and SettingsAdminApplication DataSkype
2008-10-04 18:04
d
w C:Documents and SettingsAdminApplication DataskypePM
2008-09-03 16:52
d
w C:Program FilesYahoo!
2008-08-31 09:57
d
w C:Program FilesМастер Открыток
2008-08-21 20:37
d
w C:Documents and SettingsAdminApplication DataPRMT
2008-08-21 20:33
d
w C:Program FilesPRMT8
2008-08-21 20:32
d
w C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-21 20:31
d
w C:Program FilesMSBuild
2008-08-21 20:30
d
w C:Program FilesReference Assemblies
2008-08-17 10:37
d
w C:Program FilesCommon FilesSkype
2008-08-17 10:37
d
w C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 10:10
d
w C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 10:09
d
w C:Program FilesCommon FilesArcSoft
2008-08-17 10:08
d—h—w C:Program FilesInstallShield Installation Information
2008-08-17 10:08
d
w C:Program FilesArcSoft
2008-08-17 09:59
d
w C:Program FilesVimicro
2008-08-16 10:36
d
w C:Program FilesABBYY FineReader 9.0
2008-08-16 10:36
d
w C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 10:33
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 10:30
d
w C:Documents and SettingsAdminApplication DataHP
2008-08-16 10:27
d
w C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 10:26
d
w C:Program FilesHP
2008-08-16 10:26
d
w C:Program FilesCommon FilesHP
2008-08-16 10:25
d
w C:Program FilesHewlett-Packard
2008-08-16 10:25
d
w C:Program FilesCommon FilesHewlett-Packard
2008-08-12 15:38
d
w C:Documents and SettingsAll UsersApplication DatanView_Profiles
2008-08-10 20:15
d
w C:Program FilesOperaAC
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.
Sigcheck
2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll
2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys
2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe
2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe
2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a
2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a
2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a
2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a
2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a
2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a
2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a
2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a
2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r
2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 -: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm —
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe —
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe —
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm —
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 18:48:36
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesMcAfeeCommon FrameworkMctray.exe
C:ComboFixpv.cfexe
C:ComboFixpv.cfexe
.
**************************************************************************
.
Completion time: 2008-10-05 18:50:23 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-05 14:50:20
ComboFix2.txt 2008-10-01 13:22:01Pre-Run: 36 133 785 600 байт свободно
Post-Run: 36,083,695,616 байт свободно235
Вот еще что интересного удалось найти, в истории SpyBot’a в файле Resident:
22.09.2008 21:09:58 Разрешено (based on user decision) value «scrnsave.exe» (new data: «C:WINDOWSsystem323PLANE~1.SCR») добавлено in Desktop settings!
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
01.10.2008 0:09:35 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:43 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:50 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:54 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:09:58 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:10:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 0:12:06 Разрешено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
01.10.2008 17:16:06 Разрешено (based on user decision) value «{53707962-6F74-2D53-2644-206D7942484F}» (new data: «») удалено in Browser Helper Object!
01.10.2008 17:47:29 Разрешено (based on authenticode whitelist) value «SpybotSD TeaTimer» (new data: «C:Program FilesSpybot — Search & DestroyTeaTimer.exe») добавлено in System Startup user entry!
01.10.2008 17:47:47 Разрешено (based on user decision) value «FreeCall» (new data: «») удалено in System Startup user entry!
01.10.2008 17:47:48 Разрешено (based on user decision) value «services» (new data: «») удалено in System Startup global entry!
01.10.2008 17:48:35 Запрещено (based on user decision) value «scrnsave.exe» (new data: «») удалено in Desktop settings!
05.10.2008 13:02:12 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:17 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:21 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:30 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
05.10.2008 13:02:37 Запрещено (based on user decision) value «services» (new data: «C:WINDOWSservices.exe») добавлено in System Startup global entry!
и дальше эта строка про «services» повторяеться чуть ли не каждую секунду, возможно где то здесь есть ответ на вопрос, откуда пошло заражение?
очень смущает вот эта строка:
22.09.2008 21:24:45 Разрешено (based on user decision) value «FreeCall» (new data: «»H:Program FilesFreeCall.comFreeCallFreeCall.exe» -nosplash -minimized») добавлено in System Startup user entry!
что за FreeCall, буквы «H» у меня нет, значит это был переносной носитель, флешка или мини-жеский…Это снова я 😥
сегодня изночальная проблема вернулась, расскажу по порядку: в этот момент меня за компом не было, вылезло предупреждение от SpyBot’а что services.exe хочет прописаться в реестре, ему было отказано, но услышав об этом я понял что все равно придеться лечиться, запускаю комп, проверяю папку C:WINDOWS, services.exe там, сначало хотел повторить нашу с вами процедуру удаления, и решил отписаться на форуме, однако при подключении интернета удивился что антивирус снова начал блокировать порты, ведь SpyBot’ом было запрещено прописывание в реестре, посмотрел лог файл от антивируса, оказываеться теперь эта «массовая рассылка червей» происходит через файл C:WINDOWSsystem32svchost.exe, а потом еще было видно что и через C:WINDOWSservices.exe тоже идет но меньше, и что интересно ай пи от C:WINDOWSsystem32svchost.exe везде одинаковый, а от C:WINDOWSservices.exe разный, вот лог файл от антивируса:
05.10.2008 13:01:54 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:04:41 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:06:43 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:07:47 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 209.191.88.247:25
05.10.2008 13:10:48 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:12:49 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:14:51 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:16:53 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:18:55 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:20:57 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:22:59 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:25:01 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:27:03 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:28:51 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 65.54.244.200:25
05.10.2008 13:29:51 Blocked by port blocking rule C:WINDOWSservices.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 64.12.139.249:25
05.10.2008 13:31:07 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:33:09 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 13:35:11 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:30:28 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:32:33 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:34:35 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:39:57 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:41:58 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:43:18 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:45:23 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25
05.10.2008 14:47:25 Blocked by port blocking rule C:WINDOWSsystem32svchost.exe Anti-virus Standard Protection:Prevent mass mailing worms from sending mail 216.169.106.122:25вот лог файл от HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:53:15, on 05.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:WINDOWSExplorer.EXE
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe
C:Program FilesMcAfeeCommon FrameworkMcTray.exe
C:Program FilesD-LinkDSL-200dslstat.exe
C:Program FilesD-LinkDSL-200dslagent.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesSpybot — Search & DestroyTeaTimer.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesOperaACopera.exe
C:Program FilesTrend MicroHijackThisHijackThis.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 — HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 — HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.yahoo.com
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Yahoo! Companion BHO — {02478D38-C3F9-4efb-9B51-7695ECA05670} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: SSVHelper Class — {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} — C:Program FilesJavajre1.6.0_06binssv.dll
O2 — BHO: scriptproxy — {7DB2D5A0-7241-4E79-B68D-6309F01C5231} — C:Program FilesMcAfeeVirusScan Enterprisescriptcl.dll
O2 — BHO: IE 4.x-6.x BHO for Download Master — {9961627E-4059-41B4-8E0E-A7D6B3854ADF} — C:PROGRA~1DOWNLO~1dmiehlp.dll
O3 — Toolbar: &Yahoo! Companion — {EF99BD32-C1FB-11D2-892F-0090271D4F88} — C:Program FilesYahoo!CompanionInstallscpnycomp5_6_2_0.dll
O3 — Toolbar: PROMT — {892E81F6-EC63-4d13-8422-835A7A05D6EB} — C:Program FilesPRMT8PRMTIEprmtie.dll
O4 — HKLM..Run: [ShStatEXE] «C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» /STANDALONE
O4 — HKLM..Run: [McAfeeUpdaterUI] «C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» /StartedFromRunKey
O4 — HKLM..Run: [DSLSTATEXE] C:Program FilesD-LinkDSL-200dslstat.exe icon
O4 — HKLM..Run: [DSLAGENTEXE] C:Program FilesD-LinkDSL-200dslagent.exe
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot — Search & DestroyTeaTimer.exe
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..Run: [VistaIcon] C:Program FilesVistaDriveIconVistaDrv.exe (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-19..RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-20..RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,OnceFirstLogonInstall,0 (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUSS-1-5-18..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — HKUS.DEFAULT..RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%System32rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFcustom.inf,NewUserFirstLogonInstall,0 (User ‘Default user’)
O4 — Startup: HDDlife.lnk = C:Documents and SettingsAdminLocal SettingsTempRar$EX00.343Portable_HDD_Life_Pro_2.9.105Portable_HDD_Life_Pro_2.9.105HDD Life Pro 2.9.105HDDlifePro.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 — Extra context menu item: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 — Extra context menu item: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 — Extra context menu item: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 — Extra context menu item: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 — Extra context menu item: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 — Extra context menu item: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 — Extra context menu item: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 — Extra context menu item: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 — Extra context menu item: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 — Extra button: (no name) — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra ‘Tools’ menuitem: Sun Java Console — {08B0E5C0-4FCB-11CF-AAA5-00401C608501} — C:Program FilesJavajre1.6.0_06binssv.dll
O9 — Extra button: (no name) — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra ‘Tools’ menuitem: Настроить параметры перевода — {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 — Extra button: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra ‘Tools’ menuitem: Mail.Ru Агент — {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 — Extra button: Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra ‘Tools’ menuitem: &Download Master — {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra ‘Tools’ menuitem: Перевести — {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: (no name) — Cmdmapping — (no file) (HKCU)
O16 — DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) — C:Program FilesYahoo!CommonYinsthelper.dll
O17 — HKLMSystemCCSServicesTcpip..{6C6AB72C-F7FB-4D4A-9D19-200F2CD34667}: NameServer = 82.200.130.231 82.200.130.10
O18 — Protocol: skype4com — {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} — C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O23 — Service: ABBYY FineReader 9.0 Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) — ABBYY (BIT Software) — C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: FCI — Unknown owner — C:WINDOWSsystem32svchost.exe:ext.exe
O23 — Service: FLEXnet Licensing Service — Macrovision Europe Ltd. — C:Program FilesCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: McAfee Framework Service (McAfeeFramework) — McAfee, Inc. — C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
O23 — Service: McAfee McShield (McShield) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
O23 — Service: McAfee Task Manager (McTaskManager) — McAfee, Inc. — C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Pml Driver HPZ12 — HP — C:WINDOWSsystem32HPZipm12.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 10164 bytesИ вот интересно, откуда эта зараза лезит, из инета или у меня что то осталось с того раза? 😥
Перезагрузка прошла успешно, файл innounp.exe заново не появился, и я деинсталировал ComboFix.
Да, проблемы исчезли сразу после удаления CombFix’ом C:WINDOWSservices.exe, больше антивирус не срабатывает….
А C:WINDOWSinnounp.exe, вы точно не знаете что это, и должно ли что то подобное быть в C:WINDOWS? ведь я и раньше заходил в эту папку и антивирус так не срабатывал…
В любом случае так и сделаю, помещю в карантин, посмотрю как перезагрузиться система…
Главная проблема, с постоянной блокировкой портов для отсылки чего то решена! и я вам еще раз очень благодарен 🙂Все сделал, небольшие пояснения:
на сайте VirusTotal, когда в обзоре зашел в папку C:WINDOWS, мой антивирусник сразу удалил этот файл C:WINDOWSinnounp.exe, приписав ему статус Generic.dx, ну это так его McAfee знает, и вспомнил что его же он удалял, когда шло сканирование сисемы SpyBot’ом, антивирусник написал что удали его в результате работы SpyBot’а, и я посчитал что это мог быть компонент SpyBot’а, и восстановил этот файл, теперь же он написал что удалил его при работе оперы, ия понял что это не относиться к приложиниям, просто антивирус сканирует то что я сам смотрю, открыв папку C:WINDOWS, он его нашел и удалил, но я его все равно восстановил, т.к. возможно его надо не удалять, а лечить… и также его просканировал через сайт VirusTotal…
вот лог файл от VirusTotal про C:WINDOWSservices.exe:
Файл services.exe получен 2008.09.30 22:18:26 (CET)
Текущий статус: закончено
Результат: 2/36 (5.56%)
Антивирус Версия Обновление Результат
AhnLab-V3 2008.10.1.0 2008.09.30 —
AntiVir 7.8.1.34 2008.09.30 —
Authentium 5.1.0.4 2008.09.30 —
Avast 4.8.1195.0 2008.09.30 —
AVG 8.0.0.161 2008.09.30 —
BitDefender 7.2 2008.09.30 —
CAT-QuickHeal 9.50 2008.09.30 (Suspicious) — DNAScan
ClamAV 0.93.1 2008.09.30 —
DrWeb 4.44.0.09170 2008.09.30 —
eSafe 7.0.17.0 2008.09.30 —
eTrust-Vet 31.6.6118 2008.09.30 —
Ewido 4.0 2008.09.30 —
F-Prot 4.4.4.56 2008.09.30 —
F-Secure 8.0.14332.0 2008.09.30 —
Fortinet 3.113.0.0 2008.09.30 —
GData 19 2008.09.30 —
Ikarus T3.1.1.34.0 2008.09.30 —
K7AntiVirus 7.10.478 2008.09.30 —
Kaspersky 7.0.0.125 2008.09.30 —
McAfee 5394 2008.09.30 —
Microsoft 1.4005 2008.09.30 TrojanDownloader:Win32/Cutwail.AA
NOD32 3484 2008.09.30 —
Norman 5.80.02 2008.09.30 —
Panda 9.0.0.4 2008.09.30 —
PCTools 4.4.2.0 2008.09.30 —
Prevx1 V2 2008.09.30 —
Rising 20.63.62.00 2008.09.28 —
SecureWeb-Gateway 6.7.6 2008.09.30 —
Sophos 4.34.0 2008.09.30 —
Sunbelt 3.1.1675.1 2008.09.27 —
Symantec 10 2008.09.30 —
TheHacker 6.3.0.9.097 2008.09.29 —
TrendMicro 8.700.0.1004 2008.09.30 —
VBA32 3.12.8.6 2008.09.30 —
ViRobot 2008.9.30.1398 2008.09.30 —
VirusBuster 4.5.11.0 2008.09.30 —
Дополнительная информация
File size: 40448 bytes
MD5…: 14ca7a9d1f30d107c7f0162b40427e92
SHA1..: 8a37228c620e71f411f8953e01b276c7f1ef3be0
SHA256: c35513ca1ffb963e86a37f488c43af56d52d660051e17ce37a40582c11df2596
SHA512: a34e27c86d85b6f6be5227d6f070b06062468ec68288de041fb0a15d9cdf88cf
1afeb290de40b69ba6e8407b76fe49869e61624375c1f8ba2f732a97d9cbe32d
PEiD..: —
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information( base data )
entrypointaddress.: 0x3e15b8
timedatestamp…..: 0x48e27220 (Tue Sep 30 18:38:24 2008)
machinetype…….: 0x14c (I386)( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba4 0xc00 5.80 4304d57a7285875c168c6a1ad90f7408
.rdata 0x2000 0x164 0x200 3.41 2fc88b98efb6737ac6e22cebb9312eb9
.data 0x3000 0x33860 0x8800 7.93 f077b743e85c9e8d9479831096f75308
.rsrc 0x37000 0x2e0 0x400 2.56 5368d1ba1182b085f54b6395e54d5171( 1 imports )
> KERNEL32.dll: VirtualProtect, GetProcAddress, LoadLibraryA, GetModuleHandleA, ReadFile, WriteFile, CloseHandle, CreateThread, CreatePipe, ExitProcess( 0 exports )
а вот лог файл от VirusTotal про C:WINDOWSinnounp.exe, как я понял его признали большинство:
Файл innounp.exe получен 2008.09.20 12:13:55 (CET)
Текущий статус: закончено
Результат: 19/36 (52.78%)
Антивирус Версия Обновление Результат
AhnLab-V3 — — —
AntiVir — — —
Authentium — — W32/Heuristic-210!Eldorado
Avast — — Win32:Trojan-gen {Other}
AVG — — Generic10.XFN
BitDefender — — —
CAT-QuickHeal — — (Suspicious) — DNAScan
ClamAV — — —
DrWeb — — —
eSafe — — Suspicious File
eTrust-Vet — — —
Ewido — — —
F-Prot — — W32/Heuristic-210!Eldorado
F-Secure — — W32/Packed_Upack.A
Fortinet — — —
GData — — Win32:Trojan-gen
Ikarus — — Virus.Win32.Trojan
K7AntiVirus — — Trojan.Win32.Malware.1
Kaspersky — — —
McAfee — — Generic.dx
Microsoft — — —
NOD32v2 — — —
Norman — — W32/Packed_Upack.A
Panda — — —
PCTools — — Packed/Upack
Prevx1 — — —
Rising — — —
Sophos — — Sus/ComPack-K
Sunbelt — — VIPRE.Suspicious
Symantec — — —
TheHacker — — W32/Behav-Heuristic-060
TrendMicro — — PAK_Generic.006
VBA32 — — —
ViRobot — — —
VirusBuster — — Packed/Upack
Webwasher-Gateway — — Win32.Malware.gen (suspicious)
Дополнительная информация
MD5: 8a93c3415a3ebc7cf4ebd5ace6cb062d
SHA1: c812b4f41d318a83e6ae71375e01c8a644fab697
SHA256: 9f13fd5d3cac4362c0523c98b6411b1f576049017f262783bc0e5c8cc566db55
SHA512: 63f02e4d508329898188444929a390489404bb32aa1b47ca5360b3bba73dbea93c9e21a85ed69237833734f9a1508a0bda9a8357fad5c21487b92aeb0cfc2b7eи наконец лог файл от ComboFix, как я понял он удалил C:WINDOWSservices.exe, а C:WINDOWSinnounp.exe не тронул:
ComboFix 08-09-30.03 — Admin 2008-10-01 17:17:22.4 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1640 [GMT 4:00]
Running from: C:Documents and SettingsAdminРабочий столComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:WINDOWSservices.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_R_SERVER
Service_r_server((((((((((((((((((((((((( Files Created from 2008-09-01 to 2008-10-01 )))))))))))))))))))))))))))))))
.2008-10-01 17:13 . 2008-10-01 17:13 94,564 —a
C:WINDOWSINNOUNP.EXE
2008-09-29 01:07 . 2008-09-29 01:08d
C:Program FilesMMetro
2008-09-23 18:20 . 2008-09-23 18:20d
C:Program FilesCreative
2008-09-23 18:20 . 2002-06-06 14:38 139,264 —a
C:WINDOWSsystem32eax.dll
2008-09-23 18:14 . 2003-04-16 16:49 233,472 -ra
C:WINDOWSsystem32MafiaSetup.exe
2008-09-22 21:38 . 2008-09-22 21:38d
C:TempPDFT20
2008-09-22 21:38 . 2008-09-22 21:38d
C:Temp
2008-09-22 21:09 . 2008-09-22 21:09d
C:WINDOWSsystem323Planesoft
2008-09-22 21:09 . 2008-09-22 21:09d
C:Program FilesEarth 3D Screensaver
2008-09-22 21:09 . 2008-09-22 21:09d
C:Program Files3Planesoft Screensaver Manager
2008-09-22 21:09 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-22 21:09 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-22 21:09 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-22 21:09 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-09-19 00:21 . 2006-01-14 06:25 81,920 —a
C:WINDOWSsystem32ImageDrive.cpl
2008-09-18 12:49 . 2008-09-18 12:49d
C:Documents and SettingsAdminApplication DataRadmin Communication Client
2008-09-18 12:48 . 2008-09-18 12:48d
C:Documents and SettingsAdminApplication DataRadmin
2008-09-15 23:21 . 2008-09-30 00:33d
C:Program FilesBeeOnLine-Express 2.0
2008-09-12 23:13 . 2008-09-12 23:13d
C:Documents and SettingsAll UsersApplication DataFLEXnet
2008-09-12 22:34 . 2008-09-12 22:34 486 —a
C:rb_config.js
2008-09-11 11:44 . 2008-09-11 11:45 38 —a
C:WINDOWSavisplitter.INI
2008-09-09 20:07 . 2008-10-01 09:46d
C:Program FilesSpybot — Search & Destroy
2008-09-09 20:07 . 2008-10-01 10:05d
C:Documents and SettingsAll UsersApplication DataSpybot — Search & Destroy
2008-09-08 23:55 . 2008-09-08 23:55d
C:Documents and SettingsAdminApplication DataBinarySense
2008-09-08 17:55 . 2008-10-01 17:13d
C:QUARANTINE
2008-09-07 14:29 . 2008-09-07 14:29 0 -rahs—- C:khp
2008-09-07 11:57 . 2008-09-07 11:57d
C:Program FilesTrend Micro.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-30 20:11
d
w C:Documents and SettingsAdminApplication DataSkype
2008-09-29 20:33
d
w C:Documents and SettingsAdminApplication DataskypePM
2008-09-28 21:23
d
w C:Documents and SettingsAdminApplication DataThe Bat!
2008-09-28 15:54
d
w C:Documents and SettingsAdminApplication DatauTorrent
2008-09-03 16:52
d
w C:Program FilesYahoo!
2008-08-31 09:57
d
w C:Program FilesМастер Открыток
2008-08-21 20:37
d
w C:Documents and SettingsAdminApplication DataPRMT
2008-08-21 20:33
d
w C:Program FilesPRMT8
2008-08-21 20:32
d
w C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-21 20:31
d
w C:Program FilesMSBuild
2008-08-21 20:30
d
w C:Program FilesReference Assemblies
2008-08-17 10:37
d
w C:Program FilesCommon FilesSkype
2008-08-17 10:37
d
w C:Documents and SettingsAll UsersApplication DataSkype
2008-08-17 10:10
d
w C:Documents and SettingsAdminApplication DataArcSoft
2008-08-17 10:09
d
w C:Program FilesCommon FilesArcSoft
2008-08-17 10:08
d—h—w C:Program FilesInstallShield Installation Information
2008-08-17 10:08
d
w C:Program FilesArcSoft
2008-08-17 09:59
d
w C:Program FilesVimicro
2008-08-16 10:36
d
w C:Program FilesABBYY FineReader 9.0
2008-08-16 10:36
d
w C:Documents and SettingsAdminApplication DataABBYY
2008-08-16 10:33
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-16 10:30
d
w C:Documents and SettingsAdminApplication DataHP
2008-08-16 10:27
d
w C:Documents and SettingsAll UsersApplication DataHP
2008-08-16 10:26
d
w C:Program FilesHP
2008-08-16 10:26
d
w C:Program FilesCommon FilesHP
2008-08-16 10:25
d
w C:Program FilesHewlett-Packard
2008-08-16 10:25
d
w C:Program FilesCommon FilesHewlett-Packard
2008-08-12 15:38
d
w C:Documents and SettingsAll UsersApplication DatanView_Profiles
2008-08-10 20:15
d
w C:Program FilesOperaAC
2008-08-02 10:46
d
w C:Program FilesGoogle
2008-08-02 09:06
d
w C:Program FilesCommon FilesAdobe
2008-08-02 09:06
d
w C:Documents and SettingsAdminApplication DataAdobeUM
2006-07-11 07:41 16,384 —sha-w C:WINDOWSsystem32configsystemprofileCookiesindex.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsHistoryHistory.IE5MSHist012006071120060712index.dat
2006-07-11 07:41 32,768 —sha-w C:WINDOWSsystem32configsystemprofileLocal SettingsTemporary Internet FilesContent.IE5index.dat
.
Sigcheck
2008-05-20 19:54 579072 23b7d3f3f5ec8feea75ec381c71cbd5e C:WINDOWSsystem32user32.dll2008-05-20 19:54 952320 7a737e1453d01ff94801272f13497362 C:WINDOWSsystem32wininet.dll
2008-05-20 19:52 361344 030dc4d48cc2b894fee2f390d8e66ad5 C:WINDOWSsystem32driverstcpip.sys
2008-05-20 19:53 1721344 dc5d73a9809b66026231a9d49de6987f C:WINDOWSexplorer.exe
2008-05-20 19:53 30208 ae0db25ee10900c73d923ad5880564cf C:WINDOWSsystem32ctfmon.exe
2008-05-20 19:55 80216 5f38b1b965527c6f5c30dedab0ab0550 C:WINDOWSsystem32wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2008-05-20 30208][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-29 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«DSLSTATEXE»=»C:Program FilesD-LinkDSL-200dslstat.exe» [2005-12-12 344064]
«DSLAGENTEXE»=»C:Program FilesD-LinkDSL-200dslagent.exe» [2005-08-25 65536]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2008-03-24 13524992][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-05-20 30208]
«VistaIcon»=»C:Program FilesVistaDriveIconVistaDrv.exe» [2008-01-02 132096][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«ZZZZ2_FirstLogonSetting»=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll]
«IE7_012″=»advpack.dll» [2008-05-20 C:WINDOWSsystem32advpack.dll][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoSMConfigurePrograms»= 1 (0x1)[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.YV12″= yv12vfw.dll[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^HP Digital Imaging Monitor.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаHP Digital Imaging Monitor.lnk
backup=C:WINDOWSpssHP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAmlMaple]
—a
2008-04-25 00:27 91648 C:Program FilesAmlMapleAmlMaple.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a
2006-04-21 17:03 94208 C:Program FilesCommon FilesAheadLibNMBgMonitor.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBigDogPath]
—a
2004-06-09 15:37 40960 C:WINDOWSVM_STI.EXE[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregCTFMON.EXE]
—a
2008-05-20 19:53 30208 C:WINDOWSsystem32ctfmon.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHP Software Update]
—a
2006-02-19 02:41 49152 C:Program FilesHPHP Software UpdatehpwuSchd2.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKillCopy]
—a
2006-10-29 19:36 1185792 C:WINDOWSsystem32killcopy.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregMAgent]
—a
2008-07-12 15:37 3110392 C:Program FilesMail.RuAgentmagent.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
—a
2008-03-24 22:52 13524992 C:WINDOWSsystem32nvcpl.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
—a
2008-03-24 22:52 86016 C:WINDOWSsystem32nvmctray.dll[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregVistaIcon]
—a
2008-01-02 14:52 132096 C:Program FilesVistaDriveIconVistaDrv.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAlcmtr]
-r
2005-05-03 14:43 69632 C:WINDOWSAlcmtr.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregnwiz]
—a
2008-03-24 22:52 1626112 C:WINDOWSsystem32nwiz.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregRTHDCPL]
-r
2007-09-19 14:14 16844800 C:WINDOWSRTHDCPL.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesDisableNotify»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\uTorrent\utorrent.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hposid01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe»=
«C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«C:\WINDOWS\system32\dpvsetup.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;C:WINDOWSsystem32driversnvhda32.sys [2007-11-10 29728]
S3 HSFHWCD2;HSFHWCD2;C:WINDOWSsystem32DRIVERSHSFHWCD2.sys [2004-02-25 201728]
S3 Z302Mic;Vimicro Z302 Mic Audio Filter Driver;C:WINDOWSsystem32driversUsbMicfilt.sys [2002-05-14 22571]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.
— — — — ORPHANS REMOVED — — — —HKCU-Run-FreeCall — H:Program FilesFreeCall.comFreeCallFreeCall.exe
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Закачать ВСЕ при помощи Download Master — C:Program FilesDownload Masterdmieall.htm
O8 -: Закачать при помощи Download Master — C:Program FilesDownload Masterdmie.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm —
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe —
O9 -: {8DAE90AD-4583-4977-9DD4-4360F7A45C74} — C:Program FilesDownload Masterdmaster.exe —
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm —
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 17:20:14
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
C:Program FilesMcAfeeCommon FrameworkFrameworkService.exe
C:Program FilesMcAfeeVirusScan EnterpriseMcshield.exe
C:Program FilesMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:Program FilesMcAfeeCommon FrameworknaPrdMgr.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:Program FilesMcAfeeCommon FrameworkMctray.exe
C:ComboFixpv.cfexe
C:ComboFixpv.cfexe
.
**************************************************************************
.
Completion time: 2008-10-01 17:22:00 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-01 13:21:58Pre-Run: 36 197 875 712 байт свободно
Post-Run: 36,177,530,880 Ў ©в бў®Ў®¤®238
Вы привели 2 ссылки, 1я ссылка более эффективный способ удаления троянов и шпионов? а 2ю для быстрого выполнения?
скачал Flash_Disinfector, буду тестить.
скорее всего вы правы, и вирус пришел со съемного носителя, если я подключу все носители(флешки, жеские диски) и запущу ComboFix, это не опасно? и после запущу Flash_Disinfector, как вы на это смотрите?
Вот этот пункт: «создает на каждом из доступных дисков каталог autorun.inf с атрибутами скрытый и системный, что позволяет блокировать повторное заражение ваших дисков» 100% эффективен против данных троянов(т.е. только от autorun.inf)?Вот последний лог файл ComboFix с проведения последней процедуры:
ComboFix 08-09-05.10 — Инженер студии 2008-09-14 21:51:34.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.628 [GMT 4:00]
Running from: C:Documents and SettingsИнженер студииРабочий столComboFix.exe
Command switches used :: C:Documents and SettingsИнженер студииРабочий столCFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((( Files Created from 2008-08-14 to 2008-09-14 )))))))))))))))))))))))))))))))
.2008-09-14 10:25 . 2008-09-14 16:58
d
C:Program FilesThe Sims
2008-09-14 10:22 . 2008-09-14 10:22d
C:Documents and SettingsИнженер студииApplication DataDAEMON Tools Pro
2008-09-14 10:15 . 2008-09-14 10:15 685,816 —a
C:WINDOWSsystem32driverssptd.sys
2008-09-10 20:50 . 2008-09-10 20:50d
C:Program FilesTrend Micro
2008-09-09 14:52 . 2008-09-09 14:52d
C:Program FilesMSXML 6.0
2008-09-05 12:45 . 2004-08-17 16:04 159,232 —a
C:WINDOWSsystem32ptpusd.dll
2008-09-05 12:45 . 2001-10-19 21:06 5,632 —a
C:WINDOWSsystem32ptpusb.dll
2008-09-02 10:40 . 2008-09-02 10:40d
C:WINDOWSsystem323Planesoft
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program FilesEarth 3D Screensaver
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program Files3Planesoft Screensaver Manager
2008-09-02 10:40 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-02 10:40 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-02 10:40 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-02 10:40 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-08-28 13:03 . 2008-08-28 13:03d
C:Documents and SettingsИнженер студииApplication DataPRMT
2008-08-28 12:30 . 2008-08-28 12:30d
C:WINDOWSspeech
2008-08-28 12:27 . 2008-09-12 10:22d
C:WINDOWSLhsp
2008-08-28 12:27 . 2008-08-28 12:28d
C:Program FilesPRMT8
2008-08-28 12:27 . 2008-08-28 12:27d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-28 12:24 . 2008-08-28 12:24d
C:Program FilesMSBuild
2008-08-28 12:20 . 2008-08-28 12:20d
C:WINDOWSsystem32XPSViewer
2008-08-28 12:19 . 2008-08-28 12:19d
C:Program FilesReference Assemblies
2008-08-28 12:18 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-27 17:54 . 2008-08-27 17:55d
C:Program FilesOntrack
2008-08-19 10:51 . 2008-08-19 10:51d
C:Documents and SettingsИнженер студииApplication DataReallusion
2008-08-19 10:39 . 2008-08-19 10:39 75 -r-hs—- C:WINDOWSCT5PRET.BIN
2008-08-19 10:38 . 2008-08-19 10:38d
C:Program FilesReallusion
2008-08-19 10:37 . 2008-08-19 10:37d
C:Documents and SettingsИнженер студииApplication DataInstallShield
2008-08-15 20:42 . 2008-08-15 20:42d
C:Documents and SettingsАдминистраторApplication DataMedia Player Classic.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:54
d
w C:Program FilesBeeOnLine-Express 2.0
2008-08-28 10:49
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-28 09:04
d
w C:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-08-27 13:55
d—h—w C:Program FilesInstallShield Installation Information
2008-08-25 07:13
d
w C:Documents and SettingsИнженер студииApplication DataSkype
2008-08-25 07:12
d
w C:Documents and SettingsИнженер студииApplication DataskypePM
2008-08-18 14:04
d
w C:Program FilesOpera
2008-08-18 09:45
d
w C:Program FilesQIP
2008-08-13 14:34
d
w C:Program FilesDU Meter
2008-08-12 07:42
d
w C:Program FilesABBYY FineReader 9.0
2008-07-18 18:10 94,920 —-a-w C:WINDOWSsystem32cdm.dll
2008-07-18 18:10 53,448 —-a-w C:WINDOWSsystem32wuauclt.exe
2008-07-18 18:10 45,768 —-a-w C:WINDOWSsystem32wups2.dll
2008-07-18 18:10 36,552 —-a-w C:WINDOWSsystem32wups.dll
2008-07-18 18:09 563,912 —-a-w C:WINDOWSsystem32wuapi.dll
2008-07-18 18:09 325,832 —-a-w C:WINDOWSsystem32wucltui.dll
2008-07-18 18:09 205,000 —-a-w C:WINDOWSsystem32wuweb.dll
2008-07-18 18:09 1,811,656 —-a-w C:WINDOWSsystem32wuaueng.dll
2008-07-07 20:32 253,952 —-a-w C:WINDOWSsystem32es.dll
2008-06-24 16:24 74,240 —-a-w C:WINDOWSsystem32mscms.dll
2008-06-23 16:42 826,368 —-a-w C:WINDOWSsystem32wininet.dll
2008-06-20 17:42 247,296 —-a-w C:WINDOWSsystem32mswsock.dll
2008-03-12 10:32 32 —-a-w C:Documents and SettingsAll UsersApplication Dataezsid.dat
2000-11-26 13:32 165,376 —-a-r C:Documents and SettingsИнженер студииApplication Datagamedel.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«DU Meter»=»C:Program FilesDU MeterDUMeter.exe» [2008-04-16 2582288]
«Punto Switcher»=»C:Program FilesPunto Switcherps.exe» [2003-11-12 207872]
«Wallpaper Changer»=»C:Program FilesVSoftWallpaper ChangerWC.exe» [2004-03-04 194048]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»C:Program FilesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2006-03-02 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»C:WINDOWSsystem32igfxtray.exe» [2006-10-06 98304]
«HotKeysCmds»=»C:WINDOWSsystem32hkcmd.exe» [2006-10-06 114688]
«Persistence»=»C:WINDOWSsystem32igfxpers.exe» [2006-10-06 94208]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-30 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«SSBkgdUpdate»=»C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» [2003-09-30 155648]
«OpwareSE4″=»C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe» [2006-03-21 69632]
«MAgent»=»C:Program FilesMail.RuAgentMAgent.exe» [2008-07-15 3110392]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«BigDogPath»=»C:WINDOWSVM_STI.EXE» [2004-06-09 40960]
«SkyTel»=»SkyTel.EXE» [2006-05-16 C:WINDOWSSkyTel.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2006-09-12 C:WINDOWSRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2006-03-02 15360]C:Documents and SettingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
InterVideo WinCinema Manager.lnk — C:Program FilesInterVideoCommonBinWinCinemaMgr.exe [2008-03-12 237568]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe [2005-09-24 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\InterVideo\DVD6\WinDVD.exe»=
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R2 DUMeterSvc;DU Meter Service;C:Program FilesDU MeterDUMeterSvc.exe [2007-10-15 1382672]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263]
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 21:53:24
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2008-09-14 21:55:33
ComboFix-quarantined-files.txt 2008-09-14 17:54:45
ComboFix2.txt 2008-09-14 07:02:37Pre-Run: 12,394,176,512 байт свободно
Post-Run: 12,382,535,680 байт свободно131 — E O F — 2008-09-09 10:52:23
Вообщем, кажеться пробема решена, загрузка системы идет с нормальной скоростью, ни каких командных строк больше не вылезает при загрузки рабочего стола, вирусы больше не обнаружаются, я деинсталировал ComboFix. Если что то в лог файле все же еще не так, я оставил инсталятор на флешке.
Огромное спасибо, с этой проблемой жили уже давно и много что перепробывали, вы мне еще раз очень помогли 😎
Удачи вам в ваших делах!Вот лог файл ComboFix:
ComboFix 08-09-05.10 — Инженер студии 2008-09-14 10:58:58.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.659 [GMT 4:00]
Running from: C:Documents and SettingsИнженер студииРабочий столComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:Documents and SettingsLocalServiceftpdll.dll
C:WINDOWSsystem32driversctfmon.exe.
((((((((((((((((((((((((( Files Created from 2008-08-14 to 2008-09-14 )))))))))))))))))))))))))))))))
.2008-09-14 10:25 . 2008-09-14 10:36
d
C:Program FilesThe Sims
2008-09-14 10:22 . 2008-09-14 10:22d
C:Documents and SettingsИнженер студииApplication DataDAEMON Tools Pro
2008-09-14 10:15 . 2008-09-14 10:15 685,816 —a
C:WINDOWSsystem32driverssptd.sys
2008-09-14 10:09 . 2008-09-14 10:14d
C:The.Sims.Vacation.2002.PC
2008-09-10 20:50 . 2008-09-10 20:50d
C:Program FilesTrend Micro
2008-09-09 14:52 . 2008-09-09 14:52d
C:Program FilesMSXML 6.0
2008-09-05 12:45 . 2004-08-17 16:04 159,232 —a
C:WINDOWSsystem32ptpusd.dll
2008-09-05 12:45 . 2001-10-19 21:06 5,632 —a
C:WINDOWSsystem32ptpusb.dll
2008-09-02 10:40 . 2008-09-02 10:40d
C:WINDOWSsystem323Planesoft
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program FilesEarth 3D Screensaver
2008-09-02 10:40 . 2008-09-02 10:40d
C:Program Files3Planesoft Screensaver Manager
2008-09-02 10:40 . 2007-02-28 12:51 13,243,392 —a
C:WINDOWSsystem32Earth 3D Screensaver.exe
2008-09-02 10:40 . 2007-02-28 12:52 768,512 —a
C:WINDOWSsystem32Earth_3D_Screensaver.scr
2008-09-02 10:40 . 2007-02-27 01:59 409,600 —a
C:WINDOWSsystem323Planesoft_Screensaver_Manager.scr
2008-09-02 10:40 . 2006-07-19 14:46 8,001 —a
C:WINDOWSEarth 3D Screensaver.html
2008-08-28 13:03 . 2008-08-28 13:03d
C:Documents and SettingsИнженер студииApplication DataPRMT
2008-08-28 12:30 . 2008-08-28 12:30d
C:WINDOWSspeech
2008-08-28 12:27 . 2008-09-12 10:22d
C:WINDOWSLhsp
2008-08-28 12:27 . 2008-08-28 12:28d
C:Program FilesPRMT8
2008-08-28 12:27 . 2008-08-28 12:27d
C:Documents and SettingsAll UsersApplication DataPRMT
2008-08-28 12:24 . 2008-08-28 12:24d
C:Program FilesMSBuild
2008-08-28 12:20 . 2008-08-28 12:20d
C:WINDOWSsystem32XPSViewer
2008-08-28 12:19 . 2008-08-28 12:19d
C:Program FilesReference Assemblies
2008-08-28 12:18 . 2006-06-29 13:07 14,048
C:WINDOWSsystem32spmsg2.dll
2008-08-27 17:54 . 2008-08-27 17:55d
C:Program FilesOntrack
2008-08-19 10:51 . 2008-08-19 10:51d
C:Documents and SettingsИнженер студииApplication DataReallusion
2008-08-19 10:39 . 2008-08-19 10:39 75 -r-hs—- C:WINDOWSCT5PRET.BIN
2008-08-19 10:38 . 2008-08-19 10:38d
C:Program FilesReallusion
2008-08-19 10:37 . 2008-08-19 10:37d
C:Documents and SettingsИнженер студииApplication DataInstallShield
2008-08-15 20:42 . 2008-08-15 20:42d
C:Documents and SettingsАдминистраторApplication DataMedia Player Classic.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 07:54
d
w C:Program FilesBeeOnLine-Express 2.0
2008-08-28 10:49
d
w C:Documents and SettingsAll UsersApplication DataABBYY
2008-08-28 09:04
d
w C:Documents and SettingsAll UsersApplication DataMicrosoft Help
2008-08-27 13:55
d—h—w C:Program FilesInstallShield Installation Information
2008-08-25 07:13
d
w C:Documents and SettingsИнженер студииApplication DataSkype
2008-08-25 07:12
d
w C:Documents and SettingsИнженер студииApplication DataskypePM
2008-08-18 14:04
d
w C:Program FilesOpera
2008-08-18 09:45
d
w C:Program FilesQIP
2008-08-13 14:34
d
w C:Program FilesDU Meter
2008-08-12 07:42
d
w C:Program FilesABBYY FineReader 9.0
2008-07-18 18:10 94,920 —-a-w C:WINDOWSsystem32cdm.dll
2008-07-18 18:10 53,448 —-a-w C:WINDOWSsystem32wuauclt.exe
2008-07-18 18:10 45,768 —-a-w C:WINDOWSsystem32wups2.dll
2008-07-18 18:10 36,552 —-a-w C:WINDOWSsystem32wups.dll
2008-07-18 18:09 563,912 —-a-w C:WINDOWSsystem32wuapi.dll
2008-07-18 18:09 325,832 —-a-w C:WINDOWSsystem32wucltui.dll
2008-07-18 18:09 205,000 —-a-w C:WINDOWSsystem32wuweb.dll
2008-07-18 18:09 1,811,656 —-a-w C:WINDOWSsystem32wuaueng.dll
2008-07-07 20:32 253,952 —-a-w C:WINDOWSsystem32es.dll
2008-06-24 16:24 74,240 —-a-w C:WINDOWSsystem32mscms.dll
2008-06-23 16:42 826,368 —-a-w C:WINDOWSsystem32wininet.dll
2008-06-20 17:42 247,296 —-a-w C:WINDOWSsystem32mswsock.dll
2008-03-12 10:32 32 —-a-w C:Documents and SettingsAll UsersApplication Dataezsid.dat
2000-11-26 13:32 165,376 —-a-r C:Documents and SettingsИнженер студииApplication Datagamedel.exe
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«DU Meter»=»C:Program FilesDU MeterDUMeter.exe» [2008-04-16 2582288]
«Punto Switcher»=»C:Program FilesPunto Switcherps.exe» [2003-11-12 207872]
«Wallpaper Changer»=»C:Program FilesVSoftWallpaper ChangerWC.exe» [2004-03-04 194048]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»C:Program FilesCommon FilesAheadlibNMBgMonitor.exe» [2005-10-28 94208]
«ctfmon.exe»=»C:WINDOWSsystem32ctfmon.exe» [2006-03-02 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IgfxTray»=»C:WINDOWSsystem32igfxtray.exe» [2006-10-06 98304]
«HotKeysCmds»=»C:WINDOWSsystem32hkcmd.exe» [2006-10-06 114688]
«Persistence»=»C:WINDOWSsystem32igfxpers.exe» [2006-10-06 94208]
«ShStatEXE»=»C:Program FilesMcAfeeVirusScan EnterpriseSHSTAT.EXE» [2006-11-30 112216]
«McAfeeUpdaterUI»=»C:Program FilesMcAfeeCommon FrameworkUdaterUI.exe» [2006-11-17 136768]
«SSBkgdUpdate»=»C:Program FilesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» [2003-09-30 155648]
«OpwareSE4″=»C:Program FilesScanSoftOmniPageSE4.0OpwareSE4.exe» [2006-03-21 69632]
«MAgent»=»C:Program FilesMail.RuAgentMAgent.exe» [2008-07-15 3110392]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«BigDogPath»=»C:WINDOWSVM_STI.EXE» [2004-06-09 40960]
«SkyTel»=»SkyTel.EXE» [2006-05-16 C:WINDOWSSkyTel.exe]
«RTHDCPL»=»RTHDCPL.EXE» [2006-09-12 C:WINDOWSRTHDCPL.EXE][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2006-03-02 15360]C:Documents and SettingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
InterVideo WinCinema Manager.lnk — C:Program FilesInterVideoCommonBinWinCinemaMgr.exe [2008-03-12 237568]
“бЄ®аҐл© § ЇгбЄ Adobe Reader.lnk — C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe [2005-09-24 29696][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll
«msacm.l3fhg»= mp3fhg.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«FirewallOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«C:\Program Files\McAfee\Common Framework\FrameworkService.exe»=
«C:\Program Files\QIP\qip.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\InterVideo\DVD6\WinDVD.exe»=
«C:\WINDOWS\system32\sessmgr.exe»=
«C:\Program Files\Mail.Ru\Agent\magent.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«C:\Program Files\Skype\Phone\Skype.exe»=R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 Licensing Service;C:Program FilesABBYY FineReader 9.0NetworkLicenseServer.exe [2007-11-02 566560]
R2 DUMeterSvc;DU Meter Service;C:Program FilesDU MeterDUMeterSvc.exe [2007-10-15 1382672]
S3 ZSMC302;D-Link DSB-C320;C:WINDOWSsystem32Driversusbvm302.sys [2005-01-13 195263][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{922324fe-f115-11dc-bade-0019214f8e58}]
ShellAutoRuncommand — F:alhmfg.exe
ShellexploreCommand — F:alhmfg.exe
ShellopenCommand — F:alhmfg.exe*Newly Created Service* — PROCEXP90
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = about:blank
O8 -: &Экспорт в Microsoft Excel — C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 -: Online-словари — C:Program FilesPRMT8PRMTIEoda.htm
O8 -: Автоматически определить шаблон тематики — C:Program FilesPRMT8PRMTIEaot.htm
O8 -: Настроить параметры перевода — C:Program FilesPRMT8PRMTIEoptions.htm
O8 -: Незнакомые слова — C:Program FilesPRMT8PRMTIEinfopanel.htm
O8 -: Открыть словарную статью — C:Program FilesPRMT8PRMTIEaddentry.htm
O8 -: Перевести — C:Program FilesPRMT8PRMTIEtranslat.htm
O8 -: Перевести страницу — C:Program FilesPRMT8PRMTIEpage.htm
O8 -: Поиск в Интернете — C:Program FilesPRMT8PRMTIEsearch.htm
O8 -: Поиск@Mail.Ru — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/SEARCH.HTM
O8 -: Словари@Mail.Ru — C:PROGRA~1Mail.RuSputnikMAILRU~1.DLL/TRANSLATE.HTM
O9 -: {4034D172-4C52-49de-A6A1-E75F8F591FEC} — C:Program FilesPRMT8PRMTIEoptions.htm
O9 -: {7558B7E5-7B26-4201-BEDB-00D5FF534523} — C:Program FilesMail.RuAgentmagent.exe
O9 -: {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} — C:Program FilesPRMT8PRMTIEprmtie5.htm
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 11:01:15
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Completion time: 2008-09-14 11:02:36
ComboFix-quarantined-files.txt 2008-09-14 07:02:32Pre-Run: 10,184,572,928 байт свободно
Post-Run: 10,657,312,768 байт свободно159 — E O F — 2008-09-09 10:52:23
