Невидимый вирус - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Невидимый вирус (http://forum.oszone.net/showthread.php?t=128513)

Невидимый вирус

Сегодня система не пустила на сервер. АД заблокировало учетку. Начал разбираться. Пришел к выводу что в сетке сидит вирь, какой неизвестно. В журнале наблюдается явный брут всех учеток из зараженных компьютеров. Эта дрянь сосканила АД на предмет имен и начала брутить.
Дело в том что обнаружить заразу не может ни один антивирь. Ктото сталкивался с таким ? Как ее убить.
В диспетчере задач тоже пусто. В процесс експлорере аналогично. Пусто. Поэтому я думаю что этот вирус защищен хуками. Как с этим быть? Посоветуйте чтонибуть. Уже 3 компа отрубил от сетки и не знаю что с ними делать.
Спасибо.

illznn, Здравствуйте.
Установите этот патч и все остальные обновления http://windowsupdate.microsoft.com
Воспользуйтесь рекомендациями Как бороться с сетевым червем Net-Worm.Win32.Kido
Сделайте логи по правилам

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

Большое спасибо за ответ. Вирус нашел. Тело прикрепил.
Утилитка от касперского его не видит. Он защищен и скрыт в загруженой системе, поэтому LiveCD или альтернативные варианты. Завтра продолжу поиск решений.
Вирус прописывает себя в реестре во вкладке "HKLM\SYSTEM\CurrentControlSet\Services\...." далее рандомный нэйм. Ветка реестра защищена для просмотра и редактирования. Также файл на который ссылается запись реестра по адресу "%Systemroot%\system32\....рандомнэйм.dll" Тоже скры, более того он невидим. Тело прикрепил. После запуска система его начинает исполнять. Как я понял это и приводит к атакам.
Судя по всему вирус свежий искомое имя Net-Worm.Win32.Kido.bw Японская мерзость. Вот пока что вся инфа которую нашел. Может кто видал уже такое ? не дай бог конечно.
Кстати утилита от Kасперского не подходит, она его не видит в системе. Очень жаль. Хотяпри проверке тела он выдал в решениях именно эту утилитку.

illznn, по касперскому распознается как Net-Worm.Win32.Kido.bw
Вам предупреждение, выкладывать можно только логи, вирусные файлы - нельзя., см. правила
Можно конечно попробовать без логов наугад удалить
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\hrkart.dll','');

 DeleteFile('C:\WINDOWS\system32\hrkart.dll');

BC_ImportDeletedList;

ExecuteSysClean;

 BC_DeleteFile('C:\WINDOWS\system32\hrkart.dll');

BC_Activate;

RebootWindows(true);

end.

Только там ещё сервисы должны быть, которые можно в других логах увидеть. А где логи?
Кстати, сделайте ещё лог gmer. Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Прошу прощения за нарушения првил. Не знал.
К сожалению на 2003 не запускается ни одна из вышеперечисленых утилит. Лог с ХР скину пожже, сейчас первоисточник вируса немного в занятом режиме.
Сейчас откатили СП2 и поставили заново, заработало. Но как на 2003 просканировать систему? какой утилитой ?

Вот лог с 2003 сервера.

Код:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:28:26, on 14.01.2009

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal



Running processes:

D:\Documents and Settings\%username%\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CpqRcmc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

D:\Programs\lotus\notes\ntmulti.exe

C:\hp\hpsmh\bin\smhstart.exe

C:\WINDOWS\system32\CAP3RSK.EXE

C:\WINDOWS\system32\lserver.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\hpsmhd.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\hp\hpsmh\bin\rotatelogs.exe

C:\WINDOWS\system32\sysdown.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cpqteam.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Punto Switcher\ps.exe

C:\Program Files\Total Commander\Totalcmd.exe

D:\DOCUME~1\%username%\LOCALS~1\Temp\_tc\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.16.0.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe

O4 - HKCU\..\Run: [AVG7_CC] C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP

O4 - HKLM\..\Policies\Explorer\Run: [1] D:\Manage\MainScript\UsrLogon.vbs

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Policies\Explorer\Run: [1] D:\CygWin\Abo\StartAbo.bat (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\Policies\Explorer\Run: [1] D:\CygWin\Abo\StartAbo.bat (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - S-1-5-18 Startup: AVG Control Center.lnk = ? (User 'SYSTEM')

O4 - .DEFAULT Startup: AVG Control Center.lnk = ? (User 'Default user')

O4 - Startup: AVG Control Center.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O10 - Broken Internet access because of LSP provider 'd:\documents and settings\%username%\windows\system32\mswsock.dll' missing

O15 - ESC Trusted Zone: http://*.windowsupdate.com

O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1166075653932

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zapgaz.net

O17 - HKLM\Software\..\Telephony: DomainName = zapgaz.net

O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF20013-B63C-4480-9734-628946E1665C}: NameServer = 172.16.0.2

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zapgaz.net

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zapgaz.net

O20 - Winlogon Notify: sd3notify - sd3notify.dll (file missing)

O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\CpqRcmc.exe

O23 - Service: Multi-user Cleanup Service - IBM Corp - D:\Programs\lotus\notes\ntmulti.exe

O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Compaq Computer Corporation - C:\WINDOWS\system32\sysdown.exe

O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe

O23 - Service: Thread Master (ThreadMaster) - http://threadmaster.tripod.com  -  threadmaster@europe.com - C:\WINDOWS\system32\ThreadMaster\ThreadMast.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe



--

End of file - 5858 bytes

Код:

D:\Documents and Settings\%username%\WINDOWS\System32\smss.exe

O10 - Broken Internet access because of LSP provider 'd:\documents and settings\%username%\windows\system32\mswsock.dll' missing

логи делались с терминальной сессии? Если да, отключите службу терминалов и сделайте логи с консоли.

Цитата:

Цитата illznn

Но как на 2003 просканировать систему? какой утилитой ? »

ОС Windows 2003? AVZ c консоли (не с терминалики ли др. программы удаленного администрирования) должен работать. Для проверки рабочей станции вам надо будет создать другую тему.
С помошью cureit и AVPTool проверяли?

Попробуйте воспользоваться утилитой от bitdefender распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение "System clean"
Проверьте на virustotal.com файл

Цитата:

C:\WINDOWS\SYSTEM32\sd3notify.dll

Цитата:

D:\Manage\MainScript\UsrLogon.vbs
D:\CygWin\Abo\StartAbo.bat - знакомы?

C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
Рекомендую обновить Java
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Попробуйте сделать такие логи:
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные) - обязательно проконтролируйте что удаляете и выделяйте для удаления только неизвестное вам. После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите File Age: 60 Days, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Большое спасибо за советы и утилитки.
Вот логи сегодня утром делал, это после некоторой чистки, и востановления нормальной работоспособности. Коне что меня все смущает, в логах безопасности системы видно что сервер всеже ломится под разными логинами. Видать не до конца вылечили. Вот логи. Это только те что запустились, остальные не запускаются.

OTListIt2

Extras

Код:

OTListIt Extras logfile created on: 16.01.2009 8:31:57 - Run 

OTListIt2 by OldTimer - Version 1.0.3.0     Folder = C:\Documents and Settings\$Uzername$\Рабочий стол\SCAN

Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController

Internet Explorer (Version = 7.0.5730.11)

Locale: 00000422 | Country: Украина | Language: UKR | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 0,93 Gb Available Physical Memory | 46,42% Memory free

3,36 Gb Paging File | 2,03 Gb Available in Paging File | 60,54% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072;

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 19,53 Gb Total Space | 6,22 Gb Free Space | 31,83% Space Free | Partition Type: NTFS

Drive D: | 117,19 Gb Total Space | 36,60 Gb Free Space | 31,23% Space Free | Partition Type: NTFS

Drive E: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

Drive F: | 58,60 Gb Total Space | 19,40 Gb Free Space | 33,10% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Drive S: | 232,76 Gb Total Space | 16,51 Gb Free Space | 7,10% Space Free | Partition Type: NTFS

Drive X: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

Drive Y: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

 

Computer Name: $Servername$

Current User Name: $Uzername$

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: All users

Output = Standard

File Age = 60 Days

Company Name Whitelist: On

 

========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring" = 1

"" = 



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

"EnableFirewall" = 0

"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\IcmpSettings]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\RemoteAdminSettings]

 

========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- %windir%\system32\ntfrs.exe:*:Enabled:C:\WINDOWS\system32\ntfrs.exe

[2005.03.24 16:56:54 | 00,009,216 | ---- | M] (Microsoft Corporation) -- %windir%\system32\scshost.exe:*:Enabled:C:\WINDOWS\system32\scshost.exe

File not found -- D:\WebServer\Apache\Apache.exe:*:Enabled:D:\WebServer\Apache\Apache.exe

[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe:*:Enabled:C:\WINDOWS\system32\CpqRcmc.exe

[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe:*:Enabled:D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe

[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe:*:Enabled:C:\WINDOWS\system32\sysdown.exe

[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe:*:Enabled:C:\hp\hpsmh\bin\smhstart.exe

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- %windir%\system32\ntfrs.exe:*:Enabled:C:\WINDOWS\system32\ntfrs.exe

[2005.03.24 16:56:54 | 00,009,216 | ---- | M] (Microsoft Corporation) -- %windir%\system32\scshost.exe:*:Enabled:C:\WINDOWS\system32\scshost.exe

File not found -- D:\WebServer\Apache\Apache.exe:*:Enabled:D:\WebServer\Apache\Apache.exe

[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe:*:Enabled:C:\WINDOWS\system32\CpqRcmc.exe

[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe:*:Enabled:D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe

[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe:*:Enabled:C:\WINDOWS\system32\sysdown.exe

[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe:*:Enabled:C:\hp\hpsmh\bin\smhstart.exe

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0F86FD09-BA63-4E45-A70B-604C1106C2F2}" = APC PowerChute Business Edition Console

"{19FA5F90-C08C-4753-B248-30ABE8F5138F}" = Средства выпуска Microsoft SQL Server 2005 Express Edition

"{23E5032B-56CA-4C19-A72E-B50161DB82CA}" = Предыдущая версия клиента

"{2475C7C3-1663-4BE4-8067-7A09A1928FC3}" = Windows Server 2003 Access-based Enumeration

"{342DEBAA-7E71-42BF-B818-308631FC75E2}" = MySQL Query Browser 1.1

"{3C4DF0FD-95CF-4F7B-A816-97CEF616948F}" = HP System Management Homepage

"{48EF897F-B12A-48ED-B936-0D254BD5DE06}" = Среда Microsoft SQL Server Management Studio Express

"{5D29A4EF-A57F-4F47-89F8-4EB3C5302A53}" = Apache HTTP Server 1.3.34

"{5F118268-2DFB-443F-B491-7BE180C1DF04}" = Выпуск Microsoft SQL Server 2005 Express Edition (SQLEXPRESS)

"{6C8342CD-1489-4BF7-BB05-6CE70F2619DF}" = Антивирус Касперского 6.0 для Windows Servers

"{7B56CE2A-4053-456E-B1B7-ED57E5846240}" = Microsoft SQL Server Native Client

"{7EFDA3AC-8A61-43C0-B023-33866829C816}" = MySQL Control Center

"{8398B542-3CC4-44D9-83DF-696CCE70124B}" = Windows Support Tools

"{8A2DA523-38FD-49DA-88E9-6BCDD7CCE9CF}" = MySQL Administrator 1.1

"{A6491A4A-AAA0-4892-BFEF-ECD6CECE2FF3}" = APC PowerChute Business Edition Server

"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1

"{D16C2374-F69A-4C5F-AF9F-67380FF0D83E}" = Microsoft SQL Server VSS Writer

"{E09B48B5-E141-427A-AB0C-D3605127224A}" = Microsoft SQL Server Desktop Engine

"{F01BB57B-FE12-429E-A579-C01CB58CCD62}" = MySQL Server 4.1

"{F4D0F248-2BF7-4912-814E-4FD751923838}" = Microsoft .NET Framework 2.0 Language Pack - RUS

"{FF8CF519-CE32-486F-BB25-8138070565DE}" = Файлы поддержки установки Microsoft SQL Server (русский)

"7-Zip" = 7-Zip 4.35 beta

"Canon LASER SHOT LBP-1210" = Canon LASER SHOT LBP-1210

"Canon LBP2900" = Canon LBP2900

"Compaq RCMC" = HP ProLiant Remote Monitor Service

"Data Protector Express" = Data Protector Express

"FTD2XX" = FTDI FTD2XX USB Drivers

"FTDICOMM" = FTDI USB Serial Converter Drivers

"Golden Gate 2002" = Golden Gate 2002

"Guardant driver" = Guardant driver

"HASP Device Driver" = HASP Device Driver

"HASP License Manager" = HASP License Manager

"HD Tune_is1" = HD Tune 2.10

"HP ACU" = HP Array Configuration Utility

"HP ACUCLI" = HP Array Configuration Utility CLI

"HP ADU" = HP Array Diagnostic Utility

"HP IMLV" = HP ProLiant Integrated Management Log Viewer

"HP Protected Your Data" = HP Protected Your Data

"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs

"ie7" = Windows Internet Explorer 7

"InstallWIX_{6C8342CD-1489-4BF7-BB05-6CE70F2619DF}" = Антивирус Касперского 6.0 для Windows Servers

"LanSpy_is1" = LanSpy

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 2.0 Language Pack - RUS" = Microsoft .NET Framework 2.0 Language Pack - RUS

"Microsoft SQL Server 2005" = Microsoft SQL Server 2005

"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs

"Punto Switcher 2.9" = Punto Switcher 2.9

"Total Commander" = Total Commander 6.52 PowerPack

"Windows Server 2003 Service Pack" = Windows Server 2003 Service Pack 2

"WinRAR archiver" = Архиватор WinRAR

"ЛІГА:ЕЛІТ" = ЛІГА:ЕЛІТ

 

========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 16.01.2009 2:07:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030

Description = Не удалось запросить данный список объектов групповой политики. Проверьте

 в журнале событий наличие сообщений, описывающих причины сбоя.

 

Error - 16.01.2009 2:12:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058

Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой

 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.

 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.

 (Отказано в доступе. ). Обработка групповой политики прекращена. 

 

Error - 16.01.2009 2:12:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030

Description = Не удалось запросить данный список объектов групповой политики. Проверьте

 в журнале событий наличие сообщений, описывающих причины сбоя.

 

Error - 16.01.2009 2:17:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058

Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой

 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.

 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.

 (Отказано в доступе. ). Обработка групповой политики прекращена. 

 

Error - 16.01.2009 2:17:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030

Description = Не удалось запросить данный список объектов групповой политики. Проверьте

 в журнале событий наличие сообщений, описывающих причины сбоя.

 

Error - 16.01.2009 2:22:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058

Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой

 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.

 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.

 (Отказано в доступе. ). Обработка групповой политики прекращена. 

 

Error - 16.01.2009 2:22:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030

Description = Не удалось запросить данный список объектов групповой политики. Проверьте

 в журнале событий наличие сообщений, описывающих причины сбоя.

 

Error - 16.01.2009 2:27:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1058

Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой

 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.

 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.

 (Отказано в доступе. ). Обработка групповой политики прекращена. 

 

Error - 16.01.2009 2:27:55 | Computer Name = MAINSRV | Source = Userenv | ID = 1030

Description = Не удалось запросить данный список объектов групповой политики. Проверьте

 в журнале событий наличие сообщений, описывающих причины сбоя.

 

Error - 16.01.2009 2:32:56 | Computer Name = MAINSRV | Source = Userenv | ID = 1058

Description = Windows не удалось получить доступ к файлу GPT.INI для объекта групповой

 политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=zapgaz,DC=net.

 Этот файл должен находиться в <\\zapgaz.net\sysvol\zapgaz.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.

 (Отказано в доступе. ). Обработка групповой политики прекращена. 

 

[ Directory Service Events ]

Error - 16.01.2009 2:31:59 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:31:59 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:32:02 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT),

 data 0, best match of:  'CN=Dfs-Configuration,CN=System,DC=zapgaz,DC=net' 

 

Error - 16.01.2009 2:32:52 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),

 data -1603, best match of:  '' 

 

Error - 16.01.2009 2:32:55 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),

 data -1603, best match of:  '' 

 

Error - 16.01.2009 2:32:56 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),

 data -1603, best match of:  '' 

 

Error - 16.01.2009 2:33:00 | Computer Name = MAINSRV | Source = NTDS General | ID = 1481

Description = Внутренняя ошибка. Не удалось выполнить операцию над объектом.        Дополнительные

 данные    Значение ошибки:  2 000020EF: NameErr: DSID-032500F4, problem 2001 (NO_OBJECT),

 data -1603, best match of:  '' 

 

[ System Events ]

Error - 15.01.2009 11:16:26 | Computer Name = MAINSRV | Source = DhcpServer | ID = 1059

Description = Служба DHCP не смогла обнаружить папку для авторизации сервера.

 

Error - 15.01.2009 11:16:54 | Computer Name = MAINSRV | Source = DhcpServer | ID = 1059

Description = Служба DHCP не смогла обнаружить папку для авторизации сервера.

 

Error - 15.01.2009 16:56:16 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/ADS2 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 1:20:17 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/ADS2 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 1:25:52 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/Org2 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 1:47:23 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/oasup1 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 1:47:30 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/Account2 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 1:51:40 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/OASUP1 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 2:06:24 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/account1 типа DS_SERVICE_PRINCIPAL_NAME.

 

Error - 16.01.2009 2:20:37 | Computer Name = MAINSRV | Source = KDC | ID = 11

Description = Существует несколько учетных записей с именем cifs/SMU2 типа DS_SERVICE_PRINCIPAL_NAME.

 

 

< End of report >

OTListIt 1\2

Код:

OTListIt logfile created on: 16.01.2009 8:31:57 - Run 

OTListIt2 by OldTimer - Version 1.0.3.0     Folder = C:\Documents and Settings\$Uzername$\Рабочий стол\SCAN

Windows Server 2003 Standard Edition Service Pack 2 (Version = 5.2.3790) - Type = NTDomainController

Internet Explorer (Version = 7.0.5730.11)

Locale: 00000422 | Country: Украина | Language: UKR | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 0,93 Gb Available Physical Memory | 46,42% Memory free

3,36 Gb Paging File | 2,03 Gb Available in Paging File | 60,54% Paging File free

Paging file location(s): C:\pagefile.sys 1536 3072;

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 19,53 Gb Total Space | 6,22 Gb Free Space | 31,83% Space Free | Partition Type: NTFS

Drive D: | 117,19 Gb Total Space | 36,60 Gb Free Space | 31,23% Space Free | Partition Type: NTFS

Drive E: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

Drive F: | 58,60 Gb Total Space | 19,40 Gb Free Space | 33,10% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

Drive S: | 232,76 Gb Total Space | 16,51 Gb Free Space | 7,10% Space Free | Partition Type: NTFS

Drive X: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

Drive Y: | 68,36 Gb Total Space | 47,98 Gb Free Space | 70,19% Space Free | Partition Type: NTFS

 

Computer Name: MAINSRV

Current User Name: sysadmin

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: All users

Output = Standard

File Age = 60 Days

Company Name Whitelist: On

 

========== Processes (SafeList) ==========

 

[2004.06.11 14:03:34 | 00,045,133 | ---- | M] (APC) -- C:\Program Files\APC\PowerChute Business Edition\server\pbeserver.exe

[2009.01.15 17:07:15 | 00,231,952 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

[2007.02.17 18:07:03 | 00,164,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dfssvc.exe

[2008.06.21 15:57:32 | 00,450,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dns.exe

[2003.05.01 13:35:20 | 00,225,280 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\nhsrvice.exe

[2007.02.17 18:07:14 | 00,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe

[2007.02.17 18:07:14 | 00,040,448 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ismserv.exe

[2005.04.22 18:37:08 | 00,098,304 | ---- | M] (ITV Ltd.) -- C:\Program Files\ITV\Golden Gate 2002\ItvdbNotifier.exe

[2008.08.29 19:23:24 | 00,777,728 | ---- | M] (ITV Ltd.) -- C:\Program Files\ITV\Golden Gate 2002\Packet Manager\ItvPMngr.exe

[2005.10.14 02:51:46 | 28,768,528 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe

[2002.12.17 17:26:22 | 07,520,337 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe

[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntfrs.exe

[2005.10.14 02:51:14 | 00,239,320 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe

[2005.08.02 01:01:00 | 00,024,631 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\hpsmhd.exe

[2003.05.12 14:00:00 | 00,017,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tftpd.exe

[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe

[2005.08.02 01:01:00 | 00,041,027 | ---- | M] (Apache Software Foundation) -- C:\hp\hpsmh\bin\rotatelogs.exe

[2005.08.02 01:01:00 | 00,041,027 | ---- | M] (Apache Software Foundation) -- C:\hp\hpsmh\bin\rotatelogs.exe

[2003.05.12 14:00:00 | 00,021,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tcpsvcs.exe

[2005.08.02 01:01:00 | 00,024,631 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\hpsmhd.exe

[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe

[2005.08.02 01:01:00 | 00,041,027 | ---- | M] (Apache Software Foundation) -- C:\hp\hpsmh\bin\rotatelogs.exe

[2005.08.02 01:01:00 | 00,041,027 | ---- | M] (Apache Software Foundation) -- C:\hp\hpsmh\bin\rotatelogs.exe

[2009.01.15 17:07:15 | 00,231,952 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

[2002.04.12 11:00:00 | 00,061,224 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\CAP2RSK.EXE

[2007.02.17 18:07:57 | 00,207,872 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wbem\wmiprvse.exe

[2008.11.18 19:03:00 | 00,567,808 | ---- | M] () -- D:\Liga70\ligasrv.exe

[2007.02.17 18:07:35 | 00,069,632 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\rdpclip.exe

[2005.07.07 10:46:50 | 00,086,118 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\cpqteam.exe

[2009.01.15 17:07:15 | 00,231,952 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

[2004.11.13 23:18:28 | 00,205,824 | ---- | M] (Punto.Ru) -- C:\Program Files\Punto Switcher\ps.exe

[2002.12.17 17:23:32 | 00,074,308 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

[2005.05.31 22:00:00 | 00,837,156 | ---- | M] (C. Ghisler & Co.) -- C:\Program Files\Total Commander\Totalcmd.exe

[2007.02.17 18:07:21 | 01,414,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mmc.exe

[2005.07.07 10:46:50 | 00,086,118 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\cpqteam.exe

[2009.01.15 17:07:15 | 00,231,952 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe

[2004.11.13 23:18:28 | 00,205,824 | ---- | M] (Punto.Ru) -- C:\Program Files\Punto Switcher\ps.exe

[2002.12.17 17:23:32 | 00,074,308 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

[2009.01.15 08:23:03 | 00,419,328 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\sysadmin\Рабочий стол\SCAN\OTListIt2.exe

 

========== (O23) Win32 Services (SafeList) ==========

 

File not found --  -- (Apache [Disabled | Stopped])

[2004.06.11 14:03:34 | 00,045,133 | ---- | M] (APC) -- C:\Program Files\APC\PowerChute Business Edition\server\pbeserver.exe -- (APCPBEServer [Auto | Running])

[2007.10.24 01:47:22 | 00,033,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe -- (aspnet_state [On_Demand | Stopped])

[2009.01.15 17:07:15 | 00,231,952 | ---- | M] (Kaspersky Lab) -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe -- (AVP [Auto | Running])

[2003.05.12 14:00:00 | 00,021,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tcpsvcs.exe -- (BINLSVC [On_Demand | Stopped])

[2007.10.24 01:47:40 | 00,070,144 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32 [On_Demand | Stopped])

[2004.11.19 17:20:00 | 00,022,016 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\CpqRcmc.exe -- (CpqRcmc [Auto | Running])

[2007.02.17 18:07:03 | 00,164,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dfssvc.exe -- (Dfs [Auto | Running])

[2003.05.12 14:00:00 | 00,021,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tcpsvcs.exe -- (DHCPServer [Auto | Running])

[2008.06.21 15:57:32 | 00,450,048 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\dns.exe -- (DNS [Auto | Running])

[2006.07.27 15:01:27 | 00,023,040 | ---- | M] (HP) -- C:\Program Files\HP\Data Protector Express\v3.10-sp1a\win\x86\dpwinsdr.exe -- (DPXpress [On_Demand | Stopped])

[2008.09.11 20:46:08 | 01,055,232 | ---- | M] (ITV Ltd) -- C:\Program Files\ITV\Golden Gate 2002\GGService.exe -- (GoldenGateService [Auto | Stopped])

[2007.02.17 18:07:11 | 00,083,456 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\grovel.exe -- (Groveler [On_Demand | Stopped])

[2003.05.01 13:35:20 | 00,225,280 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\nhsrvice.exe -- (HASP Loader [Auto | Running])

[2005.04.03 23:41:10 | 00,069,632 | ---- | M] (Macrovision Corporation) -- C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT [On_Demand | Stopped])

[2007.02.17 18:07:14 | 00,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN [Auto | Running])

[2007.02.17 18:07:14 | 00,040,448 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ismserv.exe -- (IsmServ [Auto | Running])

[2005.04.22 18:37:08 | 00,098,304 | ---- | M] (ITV Ltd.) -- C:\Program Files\ITV\Golden Gate 2002\ItvdbNotifier.exe -- (ItvdbNotifier [Auto | Running])

[2008.08.29 19:23:24 | 00,777,728 | ---- | M] (ITV Ltd.) -- C:\Program Files\ITV\Golden Gate 2002\Packet Manager\ItvPMngr.exe -- (ItvPacketManager [Auto | Running])

[2007.02.17 18:07:15 | 00,094,720 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\llssrv.exe -- (LicenseService [Disabled | Stopped])

[2008.11.18 19:03:00 | 00,567,808 | ---- | M] () -- D:\Liga70\ligasrv.exe -- (LigaServer [Auto | Running])

[2007.02.17 18:07:22 | 00,032,768 | ---- | M] (Корпорация Майкрософт) -- C:\WINDOWS\system32\mnmsrvc.exe -- (mnmsrvc [Disabled | Stopped])

[2005.10.14 02:51:46 | 28,768,528 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe -- (MSSQL$SQLEXPRESS [Auto | Running])

[2002.12.17 17:26:22 | 07,520,337 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe -- (MSSQLSERVER [Auto | Running])

[2005.10.14 02:50:20 | 00,045,272 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqladhlp90.exe -- (MSSQLServerADHelper [Disabled | Stopped])

[2006.07.19 19:46:54 | 04,075,520 | ---- | M] () -- D:\MySqlServer\Ver41\bin\mysqld-max-nt.exe -- (MySQL [Auto | Running])

[2007.02.17 18:07:32 | 00,792,576 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntfrs.exe -- (NtFrs [Auto | Running])

[2007.02.17 18:07:38 | 00,067,072 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\rsopprov.exe -- (RSoPProv [On_Demand | Stopped])

[2005.10.14 02:51:14 | 00,239,320 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe -- (SQLBrowser [Auto | Running])

[2002.12.17 17:23:30 | 00,311,872 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE -- (SQLSERVERAGENT [On_Demand | Stopped])

[2005.10.14 02:53:50 | 00,087,768 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe -- (SQLWriter [On_Demand | Stopped])

[2005.07.01 16:14:54 | 00,031,744 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\sysdown.exe -- (sysdown [Auto | Running])

[2005.08.02 01:01:00 | 01,380,418 | ---- | M] (Hewlett-Packard Company) -- C:\hp\hpsmh\bin\smhstart.exe -- (SysMgmtHp [Auto | Running])

[2003.05.12 14:00:00 | 00,017,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tftpd.exe -- (TFTPD [Auto | Running])

[2007.02.17 18:07:52 | 00,070,656 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\tssdis.exe -- (Tssdis [Disabled | Stopped])

[2007.02.17 18:07:54 | 00,039,424 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\wdfmgr.exe -- (UMWdf [On_Demand | Stopped])

[2006.10.30 11:59:33 | 02,642,432 | ---- | M] () -- C:\Program Files\UnikardEngine\UnikardEngine.exe -- (UnikardService [Disabled | Stopped])

[2007.02.17 18:07:53 | 00,353,280 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\vds.exe -- (vds [On_Demand | Stopped])

File not found --  -- (WTware Wizard [Disabled | Stopped])

 

========== Driver Services (SafeList) ==========

 

[2004.04.28 10:03:08 | 00,328,448 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp [On_Demand | Running])

[2004.05.11 19:11:02 | 00,099,968 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb [On_Demand | Running])

[2003.05.09 17:24:10 | 00,343,552 | ---- | M] (ATI Technologies Inc.) -- C:\WINDOWS\system32\drivers\ati2mpad.sys -- (ati2mpad [On_Demand | Running])

[2007.02.17 08:02:56 | 00,069,120 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\clusdisk.sys -- (ClusDisk [Disabled | Stopped])

[2005.07.01 16:14:52 | 00,262,144 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\drivers\cpqasm2.sys -- (cpqasm2 [On_Demand | Running])

[2005.06.24 23:11:16 | 00,025,856 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\cpqcidrv.sys -- (CpqCiDrv [On_Demand | Running])

[2005.05.20 16:15:56 | 00,056,576 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\CPQCISSE.SYS -- (CPQCISSE [On_Demand | Running])

[2005.05.20 16:16:06 | 00,016,512 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\cpqcissm.sys -- (cpqcissm [Boot | Running])

[2005.07.13 04:30:54 | 00,218,624 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\cpqteam.sys -- (CPQTeam [On_Demand | Stopped])

[2007.02.17 08:09:51 | 00,017,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\crcdisk.sys -- (crcdisk [Boot | Running])

[2007.02.17 07:51:18 | 00,034,816 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\dfs.sys -- (DfsDriver [Boot | Running])

[2003.05.09 17:25:02 | 00,103,424 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\drivers\e1000325.sys -- (E1000 [On_Demand | Stopped])

[2004.10.15 18:49:22 | 00,029,292 | R--- | M] (FTDI Ltd.) -- C:\WINDOWS\system32\drivers\FTD2XX.sys -- (FTD2XX [On_Demand | Stopped])

[2006.05.18 03:48:50 | 00,047,249 | ---- | M] (FTDI Ltd.) -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS [On_Demand | Stopped])

[2006.05.18 03:49:02 | 00,061,067 | ---- | M] (FTDI Ltd.) -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K [On_Demand | Stopped])

[2004.07.14 12:54:42 | 00,676,864 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock [Auto | Running])

[2008.12.22 15:14:12 | 00,047,616 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\system32\drivers\Haspnt.sys -- (Haspnt [Auto | Running])

[2009.01.15 17:07:15 | 00,194,320 | ---- | M] (Kaspersky Lab) -- C:\WINDOWS\system32\drivers\klif.sys -- (klif [System | Running])

[2007.02.17 08:08:11 | 00,008,704 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\ltotape.sys -- (ltotape [On_Demand | Running])

[2005.07.10 23:16:18 | 00,162,816 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\n1000325.sys -- (N1000 [On_Demand | Stopped])

[2005.01.17 15:16:20 | 00,071,616 | ---- | M] (Aktiv Co.) -- C:\WINDOWS\system32\drivers\NVKEYNT.SYS -- (NVKEYNT [System | Running])

[2005.01.17 15:19:38 | 00,038,032 | ---- | M] (Aktiv Co.) -- C:\WINDOWS\system32\drivers\NVKEYUSB.SYS -- (NVKEYUSB [On_Demand | Running])

[2007.02.17 08:06:39 | 00,020,480 | ---- | M] (Parallel Technologies, Inc.) -- C:\WINDOWS\system32\drivers\ptilink.sys -- (Ptilink [On_Demand | Running])

[2005.07.21 16:12:46 | 00,134,272 | ---- | M] (Hewlett-Packard Company) -- C:\WINDOWS\system32\drivers\q57xp32.sys -- (q57w2k [On_Demand | Running])

[2002.04.12 11:00:00 | 00,023,232 | ---- | M] (CANON INC.) -- C:\WINDOWS\system32\drivers\CAP2LPT.SYS -- (RapidPort2 [Auto | Stopped])

[2007.11.13 11:32:28 | 00,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) -- C:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv [On_Demand | Stopped])

[2007.02.17 07:51:03 | 00,072,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\sis.sys -- (SIS [Boot | Running])

[2005.03.24 16:58:06 | 00,049,664 | ---- | M] (LSI Logic) -- C:\WINDOWS\system32\drivers\symmpi.sys -- (symmpi [Boot | Running])

[2005.07.01 16:14:54 | 00,005,120 | ---- | M] (Compaq Computer Corporation) -- C:\WINDOWS\system32\drivers\sysmgmt.sys -- (sysmgmt [On_Demand | Running])

[2007.02.17 08:12:27 | 00,060,416 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio [On_Demand | Stopped])

[2007.02.17 17:13:49 | 00,172,032 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\drivers\wlbs.sys -- (WLBS [On_Demand | Stopped])

OTListIt 2\2

Код:

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

 

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

 

HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/hardAdmin.htm

HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm

HKU\.DEFAULT\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

HKU\.DEFAULT\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

 

HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = res://shdoclc.dll/hardAdmin.htm

HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm

HKU\S-1-5-18\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

HKU\S-1-5-18\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

 

 

 

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions = 

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\S-1-5-21-2339980570-2700689384-1226640419-1349\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\S-1-5-21-2339980570-2700689384-1226640419-1349\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

 

O1 HOSTS File: (769 bytes) - C:\WINDOWS\System32\drivers\etc\Hosts

O1 - Hosts: 127.0.0.1       localhost

O3 - HKCU\..\Toolbar: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

O3 - HKCU\..\Toolbar: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

O3 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\..\Toolbar: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

O3 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\..\Toolbar: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

O4 - HKLM..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers\avp.exe" (Kaspersky Lab)

O4 - HKLM..\Run: [CPQTEAM] cpqteam.exe (Hewlett-Packard Company)

O4 - HKCU..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (Punto.Ru)

O4 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe (Punto.Ru)

O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-18..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-19..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (Microsoft Corporation)

O4 - HKU\S-1-5-20..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (Microsoft Corporation)

O4 - Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe (Microsoft Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ShowSuperHidden = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disablecad = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 0

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149

O7 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1

O7 - HKU\S-1-5-21-2339980570-2700689384-1226640419-1349\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 0

O15 - HKLM\..Trusted Sites: 1 domain(s) and sub-domain(s) not assigned to a zone.

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231915325148 (WUWebControl Class)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149659546578 (MUWebControl Class)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 172.16.0.2

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O18 - Protocol\Handler:  - hpapp - C:\Program Files\Compaq\Cpqacuxe\Bin\hpapp.dll (Hewlett-Packard Company)

O18 - Protocol\Handler:  - hpapp\Apps - Reg Error: Key does not exist or could not be opened. File not found

O18 - Protocol\Handler:  - ms-help - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O20 - See sections below for AppInitDlls and Winlogon settings

O22 - SharedTaskScheduler: (Предзагрузчик Browseui) - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

O22 - SharedTaskScheduler: (Демон кэша категорий компонентов) - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (Корпорация Майкрософт)

 

========== AppInit_DLLs ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_Dlls" = ice_time.dll

>[2009.01.15 17:04:43 | 00,069,632 | ---- | M] () -- C:\WINDOWS\system32\ice_time.dll

 

========== Winlogon Notify Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\]

klogon: "DllName" = C:\WINDOWS\system32\klogon.dll -- C:\WINDOWS\system32\klogon.dll (Kaspersky Lab)

 

========== HKLM *SecurityProviders* ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]

"SecurityProviders" = msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, pwdssp.dll

>[2003.05.12 14:00:00 | 00,012,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\pwdssp.dll

 

========== Safeboot Options ==========

 

"AlternateShell" = cmd.exe

 

========== CDRom AutoRun Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun" = 0

 

========== Autorun Files on Drives ==========

 

AUTOEXEC.BAT []

[2006.06.05 16:51:52 | 00,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT -- [ NTFS ]

 

 

========== MountPoints2 ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}\Shell\AutoRun\command]

"" = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe

 

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}\Shell\open\command]

"" = RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe

 

========== Files/Folders - Created Within 60 Days ==========

 

[4 C:\WINDOWS\*.tmp files]

[2009.01.16 08:31:30 | 00,000,000 | ---D | C] -- C:\Documents and Settings\sysadmin\Рабочий стол\SCAN

[2009.01.15 17:04:43 | 00,069,632 | ---- | C] () -- C:\WINDOWS\System32\ice_time.dll

[2009.01.15 16:56:26 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

[2009.01.15 16:56:24 | 24,593,440 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.dat

[2009.01.15 16:56:24 | 02,529,568 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.dat

[2009.01.15 16:56:24 | 00,006,320 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.idx

[2009.01.15 16:56:24 | 00,001,364 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.idx

[2009.01.15 08:20:41 | 00,000,000 | ---D | C] -- C:\Documents and Settings\sysadmin\Application Data\Malwarebytes

[2009.01.15 08:20:39 | 00,015,504 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2009.01.15 08:20:39 | 00,000,703 | ---- | C] () -- C:\Documents and Settings\All Users\Рабочий стол\Malwarebytes' Anti-Malware.lnk

[2009.01.15 08:20:37 | 00,038,496 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2009.01.15 08:20:36 | 00,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2009.01.15 08:20:36 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes

[2009.01.14 10:12:17 | 00,000,000 | ---D | C] -- C:\WINDOWS\Minidump

[2009.01.14 08:53:39 | 03,593,216 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mshtml.dll

[2009.01.14 08:53:22 | 00,477,696 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mshtmled.dll

[2009.01.14 08:53:22 | 00,052,224 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msfeedsbs.dll

[2009.01.14 08:53:21 | 00,105,984 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\url.dll

[2009.01.14 08:53:20 | 00,383,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ieapfltr.dll

[2009.01.14 08:53:20 | 00,347,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dxtmsft.dll

[2009.01.14 08:53:20 | 00,267,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\iertutil.dll

[2009.01.14 08:53:20 | 00,233,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\webcheck.dll

[2009.01.14 08:53:19 | 00,826,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wininet.dll

[2009.01.14 08:53:19 | 00,459,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msfeeds.dll

[2009.01.14 08:53:19 | 00,124,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\advpack.dll

[2009.01.14 08:53:18 | 01,160,192 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\urlmon.dll

[2009.01.14 08:53:18 | 00,214,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dxtrans.dll

[2009.01.14 08:53:18 | 00,063,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\icardie.dll

[2009.01.14 08:53:17 | 06,066,176 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ieframe.dll

[2009.01.14 08:52:14 | 00,438,784 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys

[2009.01.14 08:48:55 | 00,384,000 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\tcpip.sys

[2009.01.14 08:48:55 | 00,011,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dnsperf.dll

[2009.01.14 08:48:54 | 00,450,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dns.exe

[2009.01.14 08:48:54 | 00,450,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\dns.exe

[2009.01.14 08:48:54 | 00,234,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\tcpip6.sys

[2009.01.14 08:48:54 | 00,150,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys

[2009.01.14 08:48:41 | 00,109,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rmcast.sys

[2009.01.14 08:48:14 | 00,388,608 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\asp.dll

[2009.01.14 08:47:59 | 00,228,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wmasf.dll

[2009.01.14 08:46:45 | 01,121,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml3.dll

[2009.01.14 08:46:41 | 00,247,326 | ---- | C] (Корпорация Майкрософт (Microsoft Corp.)) -- C:\WINDOWS\System32\dllcache\strmdll.dll

[2009.01.14 08:44:28 | 00,357,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\srv.sys

[2009.01.14 08:42:44 | 00,027,672 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wuapi.dll.mui

[2009.01.14 08:11:49 | 00,396,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\cmd.execf

[2009.01.14 08:10:49 | 00,000,000 | ---D | C] -- C:\Program Files\trend micro

[2009.01.13 10:15:48 | 00,000,000 | ---D | C] -- C:\Documents and Settings\sysadmin\Application Data\Lavasoft

[2009.01.13 09:43:32 | 00,000,000 | ---D | C] -- C:\Documents and Settings\sysadmin\Application Data\NAU

[2009.01.06 10:49:04 | 00,001,582 | ---- | C] () -- C:\Documents and Settings\sysadmin\Рабочий стол\Службы компонентов.lnk

[2009.01.06 10:48:03 | 00,001,652 | ---- | C] () -- C:\Documents and Settings\sysadmin\Рабочий стол\Управление данным сервером.lnk

[2009.01.06 10:47:06 | 00,000,727 | ---- | C] () -- C:\Documents and Settings\sysadmin\Рабочий стол\Active Directory - сайты и службы.lnk

[2009.01.06 10:47:06 | 00,000,727 | ---- | C] () -- C:\Documents and Settings\sysadmin\Рабочий стол\Active Directory - домены и доверие.lnk

[2008.12.23 16:18:22 | 00,000,211 | RH-- | C] () -- C:\BOOT.PCR

[2008.12.22 15:18:24 | 00,000,823 | ---- | C] () -- C:\Documents and Settings\All Users\Рабочий стол\Golden Gate 2002.lnk

[2008.12.22 15:16:33 | 00,000,012 | ---- | C] () -- C:\WINDOWS\System32\haspaddr.dat

[2008.12.22 15:16:23 | 03,149,312 | ---- | C] (Aladdin Knowledge Systems.) -- C:\WINDOWS\System32\hinstd.dll

[2008.12.22 15:16:20 | 00,225,280 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\nhsrvice.exe

[2008.12.22 15:16:20 | 00,164,864 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE

[2008.12.22 15:16:20 | 00,051,111 | ---- | C] () -- C:\WINDOWS\System32\nhsrvw32.hlp

[2008.12.22 15:16:20 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\hsduinst.exe

[2008.12.22 15:16:20 | 00,000,000 | ---D | C] -- C:\Program Files\Aladdin

[2008.12.22 15:15:11 | 00,033,340 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dbmsqlgc.dll

[2008.12.22 15:15:11 | 00,024,576 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dbmsgnet.dll

[2008.12.22 15:15:11 | 00,001,915 | ---- | C] () -- C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Service Manager.lnk

[2008.12.22 15:15:10 | 00,000,000 | -H-D | C] -- C:\Program Files\Uninstall Information

[2008.12.22 15:14:17 | 00,676,864 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\hardlock.sys

[2008.12.22 15:14:17 | 00,328,448 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\akshasp.sys

[2008.12.22 15:14:17 | 00,099,968 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\aksusb.sys

[2008.12.22 15:14:17 | 00,007,168 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\akscoinst.dll

[2008.12.22 15:14:16 | 00,104,448 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\aksclass.sys

[2008.12.22 15:14:12 | 00,047,616 | ---- | C] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\Haspnt.sys

[2008.12.22 15:14:12 | 00,006,656 | ---- | C] (Aladdin Knowledge Systems.) -- C:\WINDOWS\System32\haspvdd.dll

[2008.12.22 15:14:12 | 00,005,752 | ---- | C] () -- C:\WINDOWS\System32\config.hsp

[2008.12.22 15:14:12 | 00,000,383 | ---- | C] () -- C:\WINDOWS\System32\haspdos.sys

[2008.12.22 15:14:07 | 00,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mfc70.dll

[2008.12.22 15:14:07 | 00,853,504 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\xmlrtl70.bpl

[2008.12.22 15:14:07 | 00,257,024 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\dbrtl70.bpl

[2008.12.22 15:14:07 | 00,148,992 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\adortl70.bpl

[2008.12.22 15:14:07 | 00,143,360 | ---- | C] (ITV) -- C:\WINDOWS\System32\LCTW32.dll

[2008.12.22 15:14:07 | 00,097,792 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\vcljpg70.bpl

[2008.12.22 15:14:06 | 01,381,376 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\vcl70.bpl

[2008.12.22 15:14:06 | 00,778,240 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\rtl70.bpl

[2008.12.22 15:14:06 | 00,487,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp70.dll

[2008.12.22 15:14:06 | 00,344,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr70.dll

[2008.12.22 15:14:06 | 00,276,480 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\vclactnband70.bpl

[2008.12.22 15:14:06 | 00,215,040 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\vclx70.bpl

[2008.12.22 15:14:06 | 00,064,512 | ---- | C] (Borland Software Corporation) -- C:\WINDOWS\System32\vclsmp70.bpl

[2008.12.22 15:14:01 | 00,000,000 | ---D | C] -- C:\Program Files\ITV

[2008.12.22 15:14:01 | 00,000,000 | ---D | C] -- C:\Program Files\Common Files\ITV Shared

[2008.12.22 10:58:05 | 00,000,210 | ---- | C] () -- C:\WINDOWS\tasks\НАУ Обновление.job

[2008.12.22 10:34:46 | 00,028,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\USBSTOR.SYS

[2008.12.22 10:34:46 | 00,028,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbstor.sys

[2008.12.22 08:07:40 | 01,716,580 | -H-- | C] () -- C:\Documents and Settings\sysadmin\Local Settings\Application Data\IconCache.db

[2008.11.21 15:49:55 | 00,000,000 | ---D | C] -- C:\Program Files\Kaspersky Lab

[2008.11.21 15:49:16 | 00,000,000 | ---D | C] -- C:\kav

 

========== Files - Modified Within 60 Days ==========

 

[1 C:\WINDOWS\System32\*.tmp files]

[4 C:\WINDOWS\*.tmp files]

[2009.01.16 08:32:57 | 24,595,232 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat

[2009.01.16 08:31:31 | 02,529,568 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat

[2009.01.16 08:25:44 | 01,716,580 | -H-- | M] () -- C:\Documents and Settings\sysadmin\Local Settings\Application Data\IconCache.db

[2009.01.16 08:01:30 | 00,001,196 | -H-- | M] () -- C:\Documents and Settings\sysadmin\Мои документы\Default.rdp

[2009.01.16 07:00:04 | 00,000,482 | ---- | M] () -- C:\WINDOWS\tasks\ShadowCopyVolume{e5234c5c-6976-4728-811c-4d0fedbd1850}.job

[2009.01.16 07:00:02 | 00,000,476 | ---- | M] () -- C:\WINDOWS\tasks\ShadowCopyVolume{c6350dca-f4b9-11da-a0a6-806e6f6e6963}.job

[2009.01.16 06:00:20 | 00,000,210 | ---- | M] () -- C:\WINDOWS\tasks\НАУ Обновление.job

[2009.01.16 04:11:54 | 00,000,828 | ---- | M] () -- C:\WINDOWS\tasks\Ultriumus.job

[2009.01.16 00:44:09 | 00,000,266 | ---- | M] () -- C:\WINDOWS\tasks\Copy To BackUpSrv.job

[2009.01.16 00:43:24 | 00,000,254 | ---- | M] () -- C:\WINDOWS\tasks\Backup Day.job

[2009.01.16 00:22:31 | 00,000,274 | ---- | M] () -- C:\WINDOWS\tasks\MySql Flush Logs.job

[2009.01.15 21:04:16 | 00,000,256 | ---- | M] () -- C:\WINDOWS\tasks\MySql Dump Day.job

[2009.01.15 20:44:01 | 00,065,536 | ---- | M] () -- C:\WINDOWS\NETLOGON.CHG

[2009.01.15 17:19:37 | 01,582,312 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2009.01.15 17:19:37 | 00,661,400 | ---- | M] () -- C:\WINDOWS\System32\perfh019.dat

[2009.01.15 17:19:37 | 00,610,244 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2009.01.15 17:19:37 | 00,158,324 | ---- | M] () -- C:\WINDOWS\System32\perfc019.dat

[2009.01.15 17:19:37 | 00,129,046 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2009.01.15 17:15:27 | 00,000,012 | ---- | M] () -- C:\WINDOWS\System32\haspaddr.dat

[2009.01.15 17:15:00 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2009.01.15 17:14:55 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2009.01.15 17:13:19 | 00,006,320 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx

[2009.01.15 17:13:19 | 00,001,364 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx

[2009.01.15 17:07:15 | 00,194,320 | ---- | M] (Kaspersky Lab) -- C:\WINDOWS\System32\drivers\klif.sys

[2009.01.15 17:04:43 | 00,069,632 | ---- | M] () -- C:\WINDOWS\System32\ice_time.dll

[2009.01.15 08:20:39 | 00,000,703 | ---- | M] () -- C:\Documents and Settings\All Users\Рабочий стол\Malwarebytes' Anti-Malware.lnk

[2009.01.14 16:11:32 | 00,038,496 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2009.01.14 16:11:28 | 00,015,504 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2009.01.14 10:50:12 | 00,003,423 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2009.01.14 10:48:55 | 00,396,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\cmd.execf

[2009.01.14 10:18:10 | 00,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2009.01.14 10:12:12 | 00,096,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2009.01.14 10:12:11 | 16,106,12736 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP

[2009.01.12 07:59:28 | 00,000,272 | ---- | M] () -- C:\WINDOWS\tasks\MySql DataBase Optimize.job

[2009.01.12 07:34:39 | 00,000,266 | ---- | M] () -- C:\WINDOWS\tasks\Backup & Clear Multimedia.job

[2009.01.09 17:35:30 | 20,853,704 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\MRT.exe

[2009.01.09 17:04:09 | 00,000,264 | ---- | M] () -- C:\WINDOWS\tasks\MySql Dump Week.job

[2009.01.09 09:51:53 | 00,000,260 | ---- | M] () -- C:\WINDOWS\tasks\Backup & Clear Tranzit.job

[2009.01.01 00:22:37 | 00,000,260 | ---- | M] () -- C:\WINDOWS\tasks\Backup Month.job

[2008.12.22 15:18:24 | 00,000,823 | ---- | M] () -- C:\Documents and Settings\All Users\Рабочий стол\Golden Gate 2002.lnk

[2008.12.22 15:15:11 | 00,001,915 | ---- | M] () -- C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Service Manager.lnk

[2008.12.22 15:14:12 | 00,047,616 | ---- | M] (Aladdin Knowledge Systems) -- C:\WINDOWS\System32\drivers\Haspnt.sys

[2008.12.22 15:14:12 | 00,006,656 | ---- | M] (Aladdin Knowledge Systems.) -- C:\WINDOWS\System32\haspvdd.dll

[2008.12.22 15:14:12 | 00,005,795 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT

[2008.12.22 15:14:12 | 00,000,383 | ---- | M] () -- C:\WINDOWS\System32\haspdos.sys

[2008.12.13 09:27:24 | 03,593,216 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mshtml.dll

[2008.12.13 09:27:24 | 03,593,216 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll

[2008.12.11 13:39:10 | 00,357,888 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\srv.sys

[2008.12.11 13:39:10 | 00,357,888 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\srv.sys

[2008.12.11 10:31:39 | 00,000,449 | ---- | M] () -- C:\Documents and Settings\sysadmin\Рабочий стол\LIGA Server.lnk

[2008.11.24 09:40:58 | 00,000,231 | ---- | M] () -- C:\WINDOWS\system.ini

< End of report >

Код:

Malwarebytes' Anti-Malware 1.33

Версия базы данных: 1656

Windows 5.2.3790 Service Pack 2



16.01.2009 8:39:07

mbam-log-2009-01-16 (08-39-07).txt



Тип проверки: Быстрая

Проверено объектов: 57012

Прошло времени: 2 minute(s), 8 second(s)



Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 0



Заражено процессов в памяти:

(Вредоносные программы не обнаружены)



Заражено модулей в памяти:

(Вредоносные программы не обнаружены)



Заражено ключей реестра:

(Вредоносные программы не обнаружены)



Заражено значений реестра:

(Вредоносные программы не обнаружены)



Заражено параметров реестра:

(Вредоносные программы не обнаружены)



Заражено папок:

(Вредоносные программы не обнаружены)



Заражено файлов:

(Вредоносные программы не обнаружены)

"Заморозку" ice_time.dll деинсталлируйте
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes

explorer.exe



:Files

C:\WINDOWS\system32\ice_time.dll

C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLS"=""

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bb3ca006-cffe-11dd-83f6-0015605625df}]



:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

К сожалению без лога gmer и DDS зловредных сервисов не увидеть, очень странно, что DDS не запустился.
Попробуйте сделать логи с помощью RootRepeal и RKU

Скачайте IceSword, распакуйте, закройте все остальные программы, запустите IceSword
Нажмите вкладку Process. Нажмите на кнопку Log, сохраните лог под именем Process
Нажмите вкладку Kernel Module. Нажмите на кнопку Log, сохраните лог под именем Kernel
Нажмите вкладку Win32 Services. Нажмите на кнопку Log, сохраните лог под именем Services
Нажмите вкладку Startup. Нажмите на кнопку Log, сохраните лог под именем Startup
Нажмите вкладку SSDT. Нажмите на кнопку Log, сохраните лог под именем SSDT
Нажмите вкладку Message Hooks. Нажмите на кнопку Log, сохраните лог под именем Hooks
Запакуйте логи и прикрепите архив.