Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Проверьте пожалуйста логи. (http://forum.oszone.net/showthread.php?t=176324)

Kaban-keb 22-05-2010 19:58 1418917
Проверьте пожалуйста логи.
 
Добрый день, проверьте пожалуйста логи. Не дают покоя результаты проверки утилитой "Malwarebytes' Anti-Malware" (фото и отчёт прикладываю). Утилитой CureIt проверил, было удалено куча инфицированных объектов, однако кажется что-то осталось. Спасибо.

Kaban-keb 22-05-2010 20:08 1418924
Файлы:

iskander-k 22-05-2010 20:13 1418928
HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\wsBoZgG.exe,\\?\globalroot\systemroot\system32\b1R65l4.exe,

Эти записи в МБАМ можете оставить
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
- остальное удалить.

Kaban-keb 22-05-2010 20:15 1418930
Пробовал удалить, до и после проверки утилитой CureIt- не удаляется. Что посоветуете?

Kaban-keb 22-05-2010 20:58 1418951
Цитата:
Цитата iskander-k
• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32 »
Этот пункт кажется пропал, выполнил быстрое сканирование утилитой "Malwarebytes' Anti-Malware". А что делать с "D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken." ?

Drongo 22-05-2010 22:00 1418987
kaban-keb, Да это текстовый файл, если вам нужен этот файл, то сохраняйте, если нет - удаляйте.

Что с проблемой?

Kaban-keb 22-05-2010 22:16 1418996
Drongo, userinit.exe удалился. Проблем, кроме keylog.txt не вижу, но что его создаёт? Каждый раз, после удаления его утилитой MBAM- он снова появляется в списке заражённых объектов. Если есть следы- значит есть и источник?

iskander-k 22-05-2010 23:01 1419019
Цитата:
Цитата kaban-keb
keylog.txt »
Попробуйте найти в самом файле ссылки на программу его создавшую.

Kaban-keb 23-05-2010 05:57 1419128
В файле какая-то белиберда, текст дословно:
***************************E:\Лечения нбука (22:10:38-20:May:2010) ***************************
Kxtybt ЧЗ[BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK]Лечение XP после восстановления

***************************Сохранить как (22:22:26-20:May:2010) ***************************
[BK]

***************************Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. - Windows Internet Explorer (22:26:33-20:May:2010) ***************************
дддддддддддддддддддддддддддддддддддд

Drongo 23-05-2010 13:16 1419239
kaban-keb, Сделайте логи этими утилитами

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.


• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Kaban-keb 23-05-2010 16:38 1419335
Отчёт SDFix:
Код:
SDFix: Version 1.240
Run by Admin on 23.05.2010 at 16:24

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

D:\Documents and Settings\Admin\Local Settings\Temp\NEW4.tmp.exe - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-23 16:27:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?W?i?n?d?o?w?s?"="",,,,,,,,,,,,,""
"\37\4>\0044\0042\48\0046\4=\0040\4O\4 ?W?i?n?d?o?w?s?"=""D:\WINDOWS\Cursors\rainbow.ani,,D:\WINDOWS\Cursors\appstart.ani,D:\WINDOWS\Cursors\hourglas.ani,D:\WINDOWS\Cursors\cross.cur,,,,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\Cursors\sizewe.ani,D:\WINDOWS\Cursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\0045\4;\0040\4O\4"=""D:\WINDOWS\Cursors\3dwarro.cur,,D:\WINDOWS\Cursors\appstar3.ani,D:\WINDOWS\Cursors\hourgla3.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dwno.cur,D:\WINDOWS\Cursors\3dwns.cur,D:\WINDOWS\Cursors\3dwwe.cur,D:\WINDOWS\Cursors\3dwnwse.cur,D:\WINDOWS\Cursors\3dwnesw.cur,D:\WINDOWS\Cursors\3dwmove.cur,""
" \4C\4:\48\4 ?1?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\hand.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\hnodrop.cur,D:\WINDOWS\Cursors\hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WINDOWS\Cursors\hmove.cur,""
" \4C\4:\48\4 ?2?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\handwait.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\handno.ani,D:\WINDOWS\Cursors\handns.ani,D:\WINDOWS\Cursors\handwe.ani,D:\WINDOWS\Cursors\handnwse.ani,D:\WINDOWS\Cursors\handnesw.ani,D:\WINDOWS\Cursors\hmove.cur,""
"\24\48\4=\4>\0047\0040\0042\4@\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\dinosaur.ani,D:\WINDOWS\Cursors\dinosau2.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\banana.ani,D:\WINDOWS\Cursors\3dsns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dsnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dsmove.cur,""
"\22\4 ?A\4B\0040\4@\4>\4<\4 ?A\4B\48\4;\0045\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\horse.ani,D:\WINDOWS\Cursors\barber.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\coin.ani,D:\WINDOWS\Cursors\3dgns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dgmove.cur,""
"\24\48\4@\48\0046\0045\4@\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\drum.ani,D:\WINDOWS\Cursors\metronom.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\piano.ani,D:\WINDOWS\Cursors\hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WINDOWS\Cursors\hmove.cur,""
"#\0042\0045\4;\48\4G\0045\4=\4=\0040\4O\4"=""D:\WINDOWS\Cursors\larrow.cur,,D:\WINDOWS\Cursors\lappstrt.cur,D:\WINDOWS\Cursors\lwait.cur,D:\WINDOWS\Cursors\lcross.cur,D:\WINDOWS\Cursors\libeam.cur,,D:\WINDOWS\Cursors\lnodrop.cur,D:\WINDOWS\Cursors\lns.cur,D:\WINDOWS\Cursors\lwe.cur,D:\WINDOWS\Cursors\lnwse.cur,D:\WINDOWS\Cursors\lnesw.cur,D:\WINDOWS\Cursors\lmove.cur,""
"\22\0040\4@\48\0040\4F\48\48\4"=""D:\WINDOWS\Cursors\fillitup.ani,,D:\WINDOWS\Cursors\raindrop.ani,D:\WINDOWS\Cursors\counter.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\wagtail.ani,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\Cursors\sizewe.ani,D:\WINDOWS\Cursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\4@\4>\4=\0047\4>\0042\0040\4O\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\appstar2.ani,D:\WINDOWS\Cursors\hourgla2.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dgno.cur,D:\WINDOWS\Cursors\3dgns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dgmove.cur,""
"'\0045\4@\4=\0040\4O\4 ?"="D:\WINDOWS\cursors\arrow_r.cur,D:\WINDOWS\cursors\help_r.cur,D:\WINDOWS\cursors\wait_r.cur,D:\WINDOWS\cursors\busy_r.cur,D:\WINDOWS\cursors\cross_r.cur,D:\WINDOWS\cursors\beam_r.cur,D:\WINDOWS\cursors\pen_r.cur,D:\WINDOWS\cursors\no_r.cur,D:\WINDOWS\cursors\size4_r.cur,D:\WINDOWS\cursors\size3_r.cur,D:\WINDOWS\cursors\size2_r.cur,D:\WINDOWS\cursors\size1_r.cur,D:\WINDOWS\cursors\move_r.cur,D:\WINDOWS\cursors\up_r.cur"
"'\0045\4@\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rm.cur,D:\WINDOWS\cursors\help_rm.cur,D:\WINDOWS\cursors\wait_rm.cur,D:\WINDOWS\cursors\busy_rm.cur,D:\WINDOWS\cursors\cross_rm.cur,D:\WINDOWS\cursors\beam_rm.cur,D:\WINDOWS\cursors\pen_rm.cur,D:\WINDOWS\cursors\no_rm.cur,D:\WINDOWS\cursors\size4_rm.cur,D:\WINDOWS\cursors\size3_rm.cur,D:\WINDOWS\cursors\size2_rm.cur,D:\WINDOWS\cursors\size1_rm.cur,D:\WINDOWS\cursors\move_rm.cur,D:\WINDOWS\cursors\up_rm.cur"
"'\0045\4@\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rl.cur,D:\WINDOWS\cursors\help_rl.cur,D:\WINDOWS\cursors\wait_rl.cur,D:\WINDOWS\cursors\busy_rl.cur,D:\WINDOWS\cursors\cross_rl.cur,D:\WINDOWS\cursors\beam_rl.cur,D:\WINDOWS\cursors\pen_rl.cur,D:\WINDOWS\cursors\no_rl.cur,D:\WINDOWS\cursors\size4_rl.cur,D:\WINDOWS\cursors\size3_rl.cur,D:\WINDOWS\cursors\size2_rl.cur,D:\WINDOWS\cursors\size1_rl.cur,D:\WINDOWS\cursors\move_rl.cur,D:\WINDOWS\cursors\up_rl.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"="D:\WINDOWS\cursors\arrow_i.cur,D:\WINDOWS\cursors\help_i.cur,D:\WINDOWS\cursors\wait_i.cur,D:\WINDOWS\cursors\busy_i.cur,D:\WINDOWS\cursors\cross_i.cur,D:\WINDOWS\cursors\beam_i.cur,D:\WINDOWS\cursors\pen_i.cur,D:\WINDOWS\cursors\no_i.cur,D:\WINDOWS\cursors\size4_i.cur,D:\WINDOWS\cursors\size3_i.cur,D:\WINDOWS\cursors\size2_i.cur,D:\WINDOWS\cursors\size1_i.cur,D:\WINDOWS\cursors\move_i.cur,D:\WINDOWS\cursors\up_i.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_im.cur,D:\WINDOWS\cursors\help_im.cur,D:\WINDOWS\cursors\wait_im.cur,D:\WINDOWS\cursors\busy_im.cur,D:\WINDOWS\cursors\cross_im.cur,D:\WINDOWS\cursors\beam_im.cur,D:\WINDOWS\cursors\pen_im.cur,D:\WINDOWS\cursors\no_im.cur,D:\WINDOWS\cursors\size4_im.cur,D:\WINDOWS\cursors\size3_im.cur,D:\WINDOWS\cursors\size2_im.cur,D:\WINDOWS\cursors\size1_im.cur,D:\WINDOWS\cursors\move_im.cur,D:\WINDOWS\cursors\up_im.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_il.cur,D:\WINDOWS\cursors\help_il.cur,D:\WINDOWS\cursors\wait_il.cur,D:\WINDOWS\cursors\busy_il.cur,D:\WINDOWS\cursors\cross_il.cur,D:\WINDOWS\cursors\beam_il.cur,D:\WINDOWS\cursors\pen_il.cur,D:\WINDOWS\cursors\no_il.cur,D:\WINDOWS\cursors\size4_il.cur,D:\WINDOWS\cursors\size3_il.cur,D:\WINDOWS\cursors\size2_il.cur,D:\WINDOWS\cursors\size1_il.cur,D:\WINDOWS\cursors\move_il.cur,D:\WINDOWS\cursors\up_il.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_m.cur,D:\WINDOWS\cursors\help_m.cur,D:\WINDOWS\cursors\wait_m.cur,D:\WINDOWS\cursors\busy_m.cur,D:\WINDOWS\cursors\cross_m.cur,D:\WINDOWS\cursors\beam_m.cur,D:\WINDOWS\cursors\pen_m.cur,D:\WINDOWS\cursors\no_m.cur,D:\WINDOWS\cursors\size4_m.cur,D:\WINDOWS\cursors\size3_m.cur,D:\WINDOWS\cursors\size2_m.cur,D:\WINDOWS\cursors\size1_m.cur,D:\WINDOWS\cursors\move_m.cur,D:\WINDOWS\cursors\up_m.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_l.cur,D:\WINDOWS\cursors\help_l.cur,D:\WINDOWS\cursors\wait_l.cur,D:\WINDOWS\cursors\busy_l.cur,D:\WINDOWS\cursors\cross_l.cur,D:\WINDOWS\cursors\beam_l.cur,D:\WINDOWS\cursors\pen_l.cur,D:\WINDOWS\cursors\no_l.cur,D:\WINDOWS\cursors\size4_l.cur,D:\WINDOWS\cursors\size3_l.cur,D:\WINDOWS\cursors\size2_l.cur,D:\WINDOWS\cursors\size1_l.cur,D:\WINDOWS\cursors\move_l.cur,D:\WINDOWS\cursors\up_l.cur"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

Remaining Files :


File Backups: - D:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 May 2010        4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 25 Nov 2009      308,592 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\Maint.exe"
Thu  6 Mar 2008        61,440 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\uinstrsc.dll"
Wed 10 Dec 2008      308,576 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\Maint.exe"
Sun 22 Mar 2009        61,440 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\uinstrsc.dll"

Finished!
RSIT:

Drongo 23-05-2010 21:18 1419521
Критически вредного ничего не увидел. Выполните ещё такой утилитой прогон.

• Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Kaban-keb 23-05-2010 22:15 1419559
ComboFix.zip:

Drongo 24-05-2010 13:07 1419871
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Kaban-keb 24-05-2010 13:34 1419892
ComboFix.txt 1/2:
Код:
ComboFix 10-05-23.06 - Admin 24.05.2010  13:24:49.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.3039.2550 [GMT 4:00]
Running from: d:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: d:\documents and settings\Admin\Рабочий стол\CFScript.txt

FILE ::
"d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe"
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

.
(((((((((((((((((((((((((  Files Created from 2010-04-24 to 2010-05-24  )))))))))))))))))))))))))))))))
.

2010-05-23 18:14 . 2010-05-23 18:14        7840        ----a-w-        D:\ComboFix.zip
2010-05-23 12:31 . 2010-05-23 12:31        --------        d-----w-        D:\rsit
2010-05-23 12:31 . 2010-05-23 12:31        --------        d-----w-        d:\program files\trend micro
2010-05-23 12:24 . 2010-05-23 12:24        579072        -c--a-w-        d:\windows\system32\dllcache\user32.dll
2010-05-23 12:23 . 2010-05-23 12:23        --------        d-----w-        d:\windows\ERUNT
2010-05-23 12:14 . 2010-05-23 12:28        --------        d-----w-        D:\SDFix
2010-05-22 15:04 . 2010-05-22 15:04        11264        ----a-w-        d:\windows\system32\drivers\uzcynze0.sys
2010-05-18 19:35 . 2005-08-16 07:38        17516        ----a-w-        d:\windows\system32\drivers\frmupgr.sys
2010-05-18 19:35 . 2005-08-16 07:34        44163        ----a-w-        d:\windows\system32\drivers\btwhid.sys
2010-05-18 16:58 . 2010-05-18 16:58        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\WMTools Downloaded Files
2010-05-17 20:34 . 2010-05-17 20:34        --------        d-----w-        d:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-05-17 20:29 . 2010-05-17 20:29        --------        d-----w-        d:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:28        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:29        --------        d-----w-        d:\program files\Google
2010-05-17 20:16 . 2006-01-30 07:32        5632        ----a-w-        d:\windows\system32\pxc25pm.dll
2010-05-17 20:16 . 2004-12-07 05:11        258352        ----a-w-        d:\windows\system32\unicows.dll
2010-05-17 20:16 . 2010-05-17 20:19        --------        d-----w-        d:\program files\ABBYY PDF Transformer 2.0
2010-05-17 19:43 . 2010-05-17 19:43        --------        d-----w-        d:\documents and settings\Admin\Application Data\ABBYY
2010-05-17 18:11 . 2010-05-17 19:43        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\ABBYY
2010-05-17 17:07 . 2010-05-17 17:07        --------        d-----w-        d:\windows\Sun
2010-05-17 16:13 . 2010-05-17 16:13        --------        d-----w-        d:\program files\Tracker Software
2010-05-17 14:58 . 2009-12-17 20:14        30536        ----a-w-        d:\windows\system32\TURegOpt.exe
2010-05-17 14:58 . 2009-12-17 20:08        30024        ----a-w-        d:\windows\system32\uxtuneup.dll
2010-05-17 14:58 . 2010-05-17 14:58        --------        d-----w-        d:\documents and settings\Admin\Application Data\TuneUp Software
2010-05-17 14:58 . 2010-05-17 14:58        --------        d-----w-        d:\program files\TuneUp Utilities 2010
2010-05-17 14:55 . 2010-05-17 14:58        --------        d-----w-        d:\documents and settings\All Users\Application Data\TuneUp Software
2010-05-17 14:55 . 2010-05-17 14:55        --------        d-sh--w-        d:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-05-16 18:06 . 2010-05-16 18:06        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Cyberlink
2010-05-16 18:05 . 2010-05-16 18:05        --------        d-----w-        d:\program files\Common Files\CyberLink
2010-05-16 18:05 . 2010-05-16 18:05        --------        d-----w-        d:\program files\CyberLink
2010-05-16 18:04 . 2010-05-16 18:04        29480        ----a-w-        d:\windows\system32\msxml3a.dll
2010-05-16 18:04 . 2010-05-16 18:04        53319        ----a-w-        d:\documents and settings\All Users\Application Data\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2010-05-16 17:42 . 2010-05-16 17:42        --------        d-----w-        d:\documents and settings\Admin\Application Data\CyberLink
2010-05-16 17:40 . 2010-05-16 17:40        --------        d-----w-        d:\documents and settings\All Users\Application Data\CyberLink
2010-05-16 16:51 . 2010-05-18 16:11        --------        d---a-w-        d:\documents and settings\All Users\Application Data\TEMP
2010-05-16 16:51 . 2010-05-16 16:52        --------        d-----w-        d:\program files\AoA Audio Extractor
2010-05-16 13:04 . 2010-05-16 13:09        --------        d-----w-        d:\program files\Runtime Software
2010-05-15 20:17 . 2010-05-15 20:17        --------        d-----w-        d:\program files\PC Inspector File Recovery
2010-05-15 16:44 . 2010-05-15 16:47        --------        d-----w-        d:\program files\Unlocker
2010-05-15 16:29 . 2010-05-15 16:29        --------        d-----w-        d:\documents and settings\Admin\Application Data\Yandex
2010-05-15 16:28 . 2010-05-15 16:28        0        ----a-w-        d:\windows\nsreg.dat
2010-05-15 16:28 . 2010-05-15 16:28        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Mozilla
2010-05-15 15:50 . 2010-05-16 17:30        --------        d-----w-        d:\documents and settings\Admin\Application Data\petromap
2010-05-15 15:49 . 2010-05-16 17:30        --------        d-----w-        d:\program files\Карта Петрозаводска
2010-05-13 17:20 . 2010-05-13 17:20        --------        d-----w-        d:\program files\MediaInfo
2010-05-13 16:59 . 2010-05-13 16:59        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\ACD Systems
2010-05-13 16:59 . 2010-05-13 16:59        --------        d-----w-        d:\documents and settings\Admin\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58        --------        d-----w-        d:\documents and settings\All Users\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58        --------        d-----w-        d:\program files\Common Files\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58        --------        d-----w-        d:\program files\ACD Systems
2010-05-12 19:06 . 2005-09-01 07:03        5888        ------w-        d:\windows\system32\drivers\imagedrv.sys
2010-05-12 19:06 . 2005-09-01 07:03        127488        ------w-        d:\windows\system32\drivers\imagesrv.sys
2010-05-12 19:06 . 2006-01-12 11:40        155648        ----a-w-        d:\windows\system32\NeroCheck.exe
2010-05-12 19:06 . 2000-06-26 06:45        106496        ----a-w-        d:\windows\system32\TwnLib20.dll
2010-05-12 19:06 . 2010-05-12 19:06        --------        d-----w-        d:\program files\Ahead
2010-05-12 19:06 . 2010-05-12 19:06        --------        d-----w-        d:\program files\Common Files\Ahead
2010-05-12 17:56 . 2010-05-12 17:56        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Ahead
2010-05-11 17:55 . 2010-05-11 17:55        --------        d-----w-        d:\documents and settings\All Users\Application Data\LightScribe
2010-05-11 17:55 . 2010-05-11 18:04        --------        d-----w-        d:\documents and settings\Admin\Application Data\Nero
2010-05-11 17:09 . 2010-05-11 18:51        --------        d-----w-        d:\program files\Common Files\Nero
2010-05-11 17:09 . 2010-05-11 18:51        --------        d-----w-        d:\documents and settings\All Users\Application Data\Nero
2010-05-10 17:58 . 2010-05-10 17:58        56        ---ha-w-        d:\windows\system32\ezsidmv.dat
2010-05-10 17:58 . 2010-05-10 17:58        --------        d-----w-        d:\documents and settings\Admin\Application Data\skypePM
2010-05-10 14:23 . 2010-05-10 18:01        --------        d-----w-        d:\documents and settings\Admin\Application Data\Skype
2010-05-10 14:23 . 2010-05-10 14:23        --------        d-----w-        d:\program files\Common Files\Skype
2010-05-10 14:23 . 2010-05-10 14:23        --------        d-----r-        d:\program files\Skype
2010-05-10 14:23 . 2010-05-10 14:23        --------        d-----w-        d:\documents and settings\All Users\Application Data\Skype
2010-05-10 13:53 . 2010-05-15 15:35        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Paint.NET
2010-05-10 13:49 . 2010-05-10 13:49        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Opera
2010-05-10 13:49 . 2010-05-10 13:49        --------        d-----w-        d:\program files\Opera
2010-05-10 13:02 . 2010-05-10 13:02        223128        ----a-w-        d:\windows\system32\drivers\vaxscsi.sys
2010-05-10 13:02 . 2010-05-10 13:02        --------        d-----w-        d:\program files\Alcohol Soft
2010-05-10 12:51 . 2010-05-17 18:12        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Adobe
2010-05-10 12:50 . 2010-05-17 18:12        --------        d-----w-        d:\program files\Common Files\Adobe
2010-05-10 12:40 . 2008-09-26 14:01        621056        ----a-r-        d:\windows\system32\drivers\mod7700.sys
2010-05-10 12:40 . 2008-09-26 14:01        113664        ----a-r-        d:\windows\system32\drivers\ewusbnet.sys
2010-05-10 12:40 . 2008-09-26 14:01        101376        ----a-r-        d:\windows\system32\drivers\ewusbmdm.sys
2010-05-10 12:40 . 2008-09-26 14:00        24448        ----a-r-        d:\windows\system32\drivers\ewdcsc.sys
2010-05-10 12:39 . 2010-05-10 12:41        --------        d-----w-        d:\program files\MegaFon Internet
2010-05-10 12:04 . 2010-05-10 12:14        --------        d-----w-        d:\documents and settings\Admin\Application Data\Download Master
2010-05-10 12:04 . 2007-12-18 10:56        1412608        ----a-w-        d:\documents and settings\Admin\Application Data\Download Master\temp\skin.dll
2010-05-10 12:04 . 2010-05-10 12:04        --------        d-----w-        d:\program files\Download Master
2010-05-10 11:50 . 2010-05-10 12:00        891        ----a-w-        d:\windows\system32\secushr.dat
2010-05-10 11:49 . 2010-05-10 11:49        --------        d-----w-        d:\documents and settings\Admin\Application Data\FlashGet
2010-05-10 11:19 . 2010-05-10 11:19        --------        d-----w-        d:\documents and settings\Admin\Local Settings\Application Data\Help
2010-05-10 11:19 . 2010-05-10 11:38        --------        d-----w-        d:\program files\GoldWave
2010-05-10 11:07 . 2010-05-15 15:54        --------        d-----w-        d:\program files\Контур Петрозаводск
2010-05-10 11:00 . 2010-05-10 11:00        --------        d-----w-        d:\program files\LizardTech
2010-05-10 10:54 . 2010-05-10 10:55        --------        d-----w-        d:\windows\ShellNew
2010-05-10 10:32 . 2010-05-10 10:32        --------        d--h--w-        d:\documents and settings\All Users\Application Data\CanonIJScan
2010-05-10 10:30 . 2010-05-10 10:32        --------        d-----w-        d:\documents and settings\Admin\Application Data\Canon
2010-05-10 08:24 . 2009-04-28 11:41        303104        ----a-w-        d:\windows\system32\CNC640L.dll
2010-05-10 08:24 . 2009-04-03 12:00        1310720        ----a-w-        d:\windows\system32\CNC640C.dll
2010-05-10 08:24 . 2009-04-03 11:59        110592        ----a-w-        d:\windows\system32\CNC640I.dll
2010-05-10 08:24 . 2009-04-03 11:57        106496        ----a-w-        d:\windows\system32\CNC640U.dll
2010-05-10 08:24 . 2008-08-25 14:02        15872        ----a-w-        d:\windows\system32\CNHMCA.dll
2010-05-10 08:24 . 2008-04-13 20:15        15104        -c--a-w-        d:\windows\system32\dllcache\usbscan.sys
2010-05-10 08:24 . 2008-04-13 20:15        15104        ----a-w-        d:\windows\system32\drivers\usbscan.sys
2010-05-10 08:24 . 2010-05-10 08:44        --------        d-----w-        d:\documents and settings\Admin\Application Data\Canon Easy-WebPrint EX
2010-05-10 08:24 . 2010-05-10 08:24        --------        d-----w-        d:\program files\Common Files\CANON
2010-05-10 08:22 . 2010-05-10 08:22        --------        d--h--w-        d:\documents and settings\All Users\Application Data\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22        --------        d--h--w-        d:\windows\system32\CanonIJ Uninstaller Information
2010-05-10 08:22 . 2009-05-26 01:00        70656        ----a-w-        d:\windows\system32\Spool\prtprocs\w32x86\CNMPPA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00        27648        ----a-w-        d:\windows\system32\Spool\prtprocs\w32x86\CNMPDA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00        272384        ----a-w-        d:\windows\system32\CNMLMA2.DLL
2010-05-10 08:22 . 2009-03-18 00:09        178176        ----a-w-        d:\windows\system32\CNMIUA2.DLL
2010-05-10 08:22 . 2009-02-04 04:17        90112        ----a-w-        d:\windows\system32\CNC640O.dll
2010-05-10 08:22 . 2010-05-10 08:22        --------        d--h--w-        d:\program files\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22        --------        d-----w-        d:\windows\system32\STRING
2010-05-10 08:22 . 2010-05-10 08:22        --------        d-----w-        d:\windows\system32\CHM
2010-05-10 08:22 . 2009-04-03 07:51        137216        ----a-w-        d:\windows\system32\CNMNPUI.DLL
2010-05-10 08:22 . 2009-04-03 07:51        353792        ----a-w-        d:\windows\system32\CNMNPPM.DLL
2010-05-10 08:20 . 2010-05-10 08:24        --------        d-----w-        d:\program files\Canon
2010-05-10 08:17 . 2008-04-13 20:17        25856        -c--a-w-        d:\windows\system32\dllcache\usbprint.sys
2010-05-10 08:17 . 2008-04-13 20:17        25856        ----a-w-        d:\windows\system32\drivers\usbprint.sys
2010-05-08 20:20 . 2010-05-08 20:20        --------        d-----w-        d:\documents and settings\Admin\Application Data\Media Player Classic
2010-05-08 19:59 . 2010-05-08 19:59        --------        d-----w-        d:\windows\system32\LogFiles
2010-05-08 19:58 . 2008-04-13 20:15        26112        -c--a-w-        d:\windows\system32\dllcache\usbser.sys
2010-05-08 19:58 . 2008-04-13 20:15        26112        ----a-w-        d:\windows\system32\drivers\usbser.sys
2010-05-08 19:56 . 2008-03-21 09:57        14640        ------w-        d:\windows\system32\spmsgXP_2k3.dll
2010-05-08 19:56 . 2010-05-08 19:56        --------        d-----w-        d:\documents and settings\Admin\Application Data\Nokia
2010-05-08 19:56 . 2010-05-08 19:59        --------        d-----w-        d:\documents and settings\Admin\Application Data\PC Suite
2010-05-08 19:56 . 2010-05-08 19:59        --------        d-----w-        d:\documents and settings\All Users\Application Data\PC Suite
2010-05-08 19:54 . 2010-05-08 19:54        95232        ----a-w-        d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-05-08 19:54 . 2010-05-08 19:54        8192        ----a-w-        d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-24 09:24 . 2008-04-15 13:00        77078        ----a-w-        d:\windows\system32\perfc019.dat
2010-05-24 09:24 . 2008-04-15 13:00        448934        ----a-w-        d:\windows\system32\perfh019.dat
2010-05-08 20:23 . 2010-05-08 20:23        --------        d-----w-        d:\program files\K-Lite Codec Pack
2010-05-08 19:59 . 2010-05-08 19:59        0        ---ha-w-        d:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-05-08 19:59 . 2010-05-08 19:59        0        ---ha-w-        d:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-05-08 19:56 . 2010-05-08 19:56        0        ---ha-w-        d:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2010-05-08 19:56 . 2010-05-08 19:56        0        ---ha-w-        d:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-05-08 19:55 . 2010-05-08 19:55        --------        d-----w-        d:\program files\Common Files\PCSuite
2010-05-08 19:55 . 2010-05-08 19:55        --------        d-----w-        d:\program files\Common Files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55        --------        d-----w-        d:\program files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55        --------        d-----w-        d:\program files\DIFX
2010-05-08 19:55 . 2010-05-08 19:55        --------        d-----w-        d:\program files\PC Connectivity Solution
2010-05-07 15:01 . 2010-05-04 21:55        86327        ----a-w-        d:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-05 16:10 . 2010-05-05 16:10        0        ---ha-w-        d:\windows\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50        0        ---ha-w-        d:\windows\system32\drivers\Msft_Kernel_enecir_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50        0        ---ha-w-        d:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-05-05 01:50 . 2010-05-05 01:50        --------        d-----w-        d:\program files\IDT
2010-05-04 22:09 . 2010-05-04 22:09        552        ----a-w-        d:\windows\system32\d3d8caps.dat
2010-05-04 21:59 . 2010-05-04 21:59        --------        d-----w-        d:\program files\VistaDriveIcon
2010-05-04 21:59 . 2010-05-04 21:59        722416        ----a-w-        d:\windows\system32\drivers\sptd.sys
2010-05-04 21:59 . 2010-05-04 21:59        --------        d---a-w-        d:\program files\Paint.NET
2010-05-04 21:58 . 2010-05-04 21:59        411368        ----a-w-        d:\windows\system32\deploytk.dll
2010-05-04 21:58 . 2010-05-04 21:58        --------        d-----w-        d:\program files\Java
2010-05-04 21:53 . 2010-05-04 21:53        22564        ----a-w-        d:\windows\system32\emptyregdb.dat
2010-05-04 21:53 . 2010-05-04 21:53        --------        d-----w-        d:\program files\Windows Media Connect 2
2010-04-21 19:27 . 2010-05-08 19:55        34001264        ----a-w-        d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_rus_web.exe
2010-03-09 07:01 . 2010-04-29 17:27        130672        ----a-w-        d:\windows\system32\drivers\jmcr.sys
.

------- Sigcheck -------

[-] 2009-09-13 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . d:\windows\system32\drivers\tcpip.sys

[-] 2009-09-13 . 85315C6F61092584BCD96A1EF8A02B4C . 78360 . . [7.2.6001.788] . . d:\windows\system32\wuauclt.exe

[-] 2010-05-23 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\dllcache\user32.dll
[-] 2009-09-13 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\user32.dll

[-] 2009-09-13 . 7BF5762CE65A58B7C15B78673F3C3DD3 . 1040384 . . [8.00.6001.22896] . . d:\windows\system32\wininet.dll

[-] 2009-09-13 . B8D3A575A3C0E1A4B724E2BD05394E60 . 1721344 . . [6.00.2900.5512] . . d:\windows\explorer.exe

[-] 2009-09-13 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll

[-] 2009-09-13 . C4C2628D119D2FF1B7723E084F4B181E . 30208 . . [5.1.2600.5512] . . d:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((((  SnapShot@2010-05-23_18.03.22  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-15 13:00 . 2010-05-23 12:30        63862              d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24        63862              d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24        406662              d:\windows\system32\perfh009.dat
- 2008-04-15 13:00 . 2010-05-23 12:30        406662              d:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
"Download Master"="d:\program files\Download Master\dmaster.exe" [2010-04-30 3791360]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-17 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="d:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
"HP Software Update"="d:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="d:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-09-01 499768]
"QlbCtrl.exe"="d:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 321080]
"CanonMyPrinter"="d:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]
"CanonSolutionMenu"="d:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-17 767312]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"UnlockerAssistant"="d:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
"RemoteControl9"="d:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-11-29 87336]
"BDRegion"="d:\program files\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2009-09-13 30208]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-09-13 128512]
"IE8_02"="advpack.dll" [2009-09-13 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"MaxRecentDocs"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
"MSMSGS"="d:\program files\Messenger\msmsgs.exe" /background
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20548:TCP"= 20548:TCP

R1 uzcynze0;AVZ-RK Kernel Driver;d:\windows\system32\drivers\uzcynze0.sys [22.05.2010 19:04 11264]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/05/16 22:05];d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl [29.11.2009 18:41 87536]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [18.12.2009 0:12 1044808]
R3 AESTAud;AE Audio Service;d:\windows\system32\drivers\AESTAud.sys [05.05.2010 5:45 113664]
R3 Com4QLBEx;Com4QLBEx;d:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [05.05.2010 20:10 228408]
R3 enecir;ENE CIR Receiver;d:\windows\system32\drivers\enecir.sys [29.04.2010 21:27 54784]
R3 enecirhid;ENE CIR HID Receiver;d:\windows\system32\drivers\enecirhid.sys [29.04.2010 21:27 11264]
R3 enecirhidma;ENE CIR HIDmini Filter;d:\windows\system32\drivers\enecirhidma.sys [29.04.2010 21:27 5632]
R3 JMCR;JMCR;d:\windows\system32\drivers\jmcr.sys [29.04.2010 21:27 130672]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 7:24 10064]
S0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [05.05.2010 1:59 722416]
S2 gupdate;Служба Google Update (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [18.05.2010 0:29 136176]
S3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [10.05.2010 17:02 223128]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-05-19 d:\windows\Tasks\Automatic troubleshooting.job
- d:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-12-17 20:18]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel - d:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: Google ВикиКомментарии... - d:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Закачать ВСЕ при помощи Download Master - d:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - d:\program files\Download Master\dmie.htm
IE: Отправить через &Bluetooth - d:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Передать на удаленную закачку DM - d:\program files\Download Master\remdown.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - d:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Trusted Zone: kuaiche.com\software
FF - ProfilePath - d:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\wuievqru.default\
FF - plugin: d:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL
FF - plugin: d:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: d:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: d:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)

Kaban-keb 24-05-2010 13:35 1419893
ComboFix.txt 2/2:
Код:


**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-24 13:27
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\.Default\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\AppGPFault\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CCSelect\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Close\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Insert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Remove.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceFail\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\InternetAlert\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Battery Critical.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MailBeep\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\New Messages.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Maximize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Minimize.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuCommand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Menu Command.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuPopup\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Minimize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Restore.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Open\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\PrintComplete\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Print Complete.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreDown\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreUp\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\ShowBand\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Ringin.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExit\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Shutdown.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemHand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemNotification\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Exclamation.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStart\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Startup.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStartMenu\25@0*7~]
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Grab.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log Off.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log In.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\25@0*7~]
@="Windows Pop-up Blocked.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\25@0*7~]
@="Windows Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\Navigating\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\media\\Windows Navigation Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\25@0*7~]
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_ContactOnline\25@0*7~]
@="d:\\Program Files\\Messenger\\online.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewAlert\25@0*7~]
@="d:\\Program Files\\Messenger\\newalert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMail\25@0*7~]
@="d:\\Program Files\\Messenger\\newemail.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMessage\25@0*7~]
@="d:\\Program Files\\Messenger\\type.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Names\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Звер"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1200)
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\cscui.dll
d:\windows\system32\COMRes.dll
.
Completion time: 2010-05-24  13:27:57
ComboFix-quarantined-files.txt  2010-05-24 09:27
ComboFix2.txt  2010-05-23 18:04

Pre-Run: 10*882*023*424 байт свободно
Post-Run: 10*856*603*648 байт свободно

- - End Of File - - 675ECAB817C12E41D4D68AF32F72AF5E

Drongo 24-05-2010 15:09 1419982
kaban-keb, Какая реакция после выполнения скрипта?

Kaban-keb 24-05-2010 17:04 1420058
Уважаемый Drongo, реакции после выполнения скрипта нет, т.к. запись в отчёте "МБАМ"- "D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken." пропала ещё после первого прогона утилитой "ComboFix". Предполагаю, что тему можно закрывать, но хотелось бы получить ответы:
1.За компьютером, кроме меня, будет работать ещё и девушка- совсем полная "блондинка". Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. Боюсь, как бы она не сделала что-нибудь не то с выбором загрузки. Можно ли как нибудь убрать её, поискал сам на http://support.microsoft.com/kb/307654/ru:
Код:
Удаление консоли восстановления
Чтобы удалить консоль восстановления, выполните указанные ниже действия.
Перезагрузите компьютер, выберите в меню Пуск пункт Мой компьютер, а затем два раза щелкните значок жесткого диска, на котором установлена консоль восстановления.
В меню Сервис выберите команду Свойства папки и перейдите на вкладку Вид.
Выберите вариант Показывать скрытые файлы и папки, снимите флажок Скрывать защищенные системные файлы и нажмите кнопку ОК.
В корневой папке диска удалите папку Cmdcons и файл Cmldr.
В корневой папке диска щелкните правой кнопкой мыши файл Boot.ini и выберите пункт Свойства.
Снимите флажок атрибута Только чтение и нажмите кнопку OК.
Предупреждение! Неправильное изменение файла Boot.ini может привести к проблемам с загрузкой компьютера. Удалите только запись, относящуюся к консоли восстановления. После этого снова установите для файла Boot.ini атрибут «Только чтение». Откройте файл Boot.ini с помощью программы «Блокнот» и удалите запись, относящуюся к консоли восстановления. Эта запись выглядит примерно так:
C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons
Сохраните и закройте файл.
Всё верно? А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или другого ПО) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb".
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты.
4.Аналогично D\Qoobox, содержащую карантин и отчеты
5.Можно ли удалить программу D:\Program Files\trend micro, думаю, что да :).
6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?:
Цитата:
Цитата Pili
не забудьте после окончания лечения удалить драйвер AVZM
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe"
8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит- окно пустое.
Была проведена довольно большая работа по установке ОС, поиску драйвов и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы.
Drongo, ответьте, пожалуйста, на вопросы. Спасибо.

Drongo 24-05-2010 17:30 1420071
Цитата:
Цитата kaban-keb
Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
»
Установить вы её не должны, поскольку в рекомендациях этого не было, разве что самостоятельно установили. Честно говоря, на этот вопрос у меня нет ответа. Давать рисковый совет не хочу, поэтому дождитесь если кто ответить что по этому вопросу.

Цитата:
Цитата kaban-keb
2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или других ) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb". »
Можно, если есть Dr.Web, то удаляйте средствами самой программы. Если программы Dr.Web нет, то удалите вручную.
Цитата:
Цитата kaban-keb
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты. »
Деинсталируйте программу через установку\удаление программ
Цитата:
Цитата kaban-keb
4.Аналогично D\Qoobox, содержащую карантин и отчеты
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe" »
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата:
Цитата kaban-keb
8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит. »
Код:
begin
 ClearQuarantine;
 ExecuteRepair(6);
 RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Цитата:
Цитата kaban-keb
6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?: »
Код:
Begin
ExecuteStdScr(6);
 RebootWindows(true);
end.
И удалить папку с программой.

Цитата:
Цитата kaban-keb
Была проведена довольно большая работа по установке ОС и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы. »
Конечно лучше было бы сделать образ чистой системы, а не пролеченой.

Kaban-keb 27-05-2010 18:48 1422372
Консоль удалил без проблем, как указано. После лечения провёл полную проверку всего компьютера утилитами MBAM и CureIt (в безопасном режиме)- всё чисто (кроме инструмента, использовавшегося при лечении- SDFix.exe). Удалил следы всех антивирусных утилит. Напоследок было решено провести проверку и Касперской Virus Removal Tool. В обычном режиме- чисто, однако в ручном режиме были обнаружены какие-то угрозы. Можно ли знатокам ещё раз взглянуть на прилагаемое фото и логи (действительно ли это угрозы, ведь 2 антивиря ничего не распознали)? Если чего-то не хватает- выполню. Спасибо

Drongo 28-05-2010 10:56 1422768
Вот такой скрипт получился.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('d:\documents and settings\admin\application data\microsoft\internet explorer\quick launch\taskmgr.exe','');
 DeleteFile('d:\documents and settings\admin\application data\microsoft\internet explorer\quick launch\taskmgr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Цитата:
Цитата kaban-keb
Можно ли знатокам ещё раз взглянуть на прилагаемое фото и логи (действительно ли это угрозы, ведь 2 антивиря ничего не распознали)? »
На фото, первые шесть записей, считаются потенциальными уязвимостями системы.
Отображение расширений, можно включить если хочется, это не критично.
Цитата:
Свойства папки - Вид - снять галку с пункта - Скрывать расширения для зарегистрированых типов файлов - ок - ок
Несколько пунктов с отключением автозапуска считается критичным, потому что некоторые вирусы используют это свойство для распространения в системе. Если вам не нужен автозапуск, можно выполнить этот скрипт. Отключит всё кроме автозапуска с CD-Rom
Код:
Begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 223);
end.
Если же вам вообще не нужен автозапуск нигде, можно выполнить этот скрипт
Код:
Begin
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 225);
end.
По остальным, модицикация IAT, к сожалению, ничего сказать не могу.

Kaban-keb 28-05-2010 15:03 1422985
Drongo, большое спасибо за помощь! Результаты обещаю выложить, чуть попозже.
Хотелось бы спросить:
Цитата:
Цитата Drongo
Отключит всё кроме автозапуска с CD-Rom »
Почему автозапуск CD-Rom не так страшен?
А по поводу сохранения образа: сегодня днём, включив компьютер, обнаружил на рабочем столе порно-баннер, хотя ещё утром работал без проблем. Чтоб остаётся делать? Только кусать локти, итак на установку ОС и лечение ушла уже не одна неделя отпуска, а тут ещё это. А так- 7 минут времени и система восстановлена.

Drongo 28-05-2010 18:51 1423118
Цитата:
Цитата kaban-keb
Почему автозапуск CD-Rom не так страшен? »
Просто это предпочтение чтобы авторан с компакта открывался, вирус ведь не может перезаписать лазерный диск, следовательно, что на лазером диске если и есть autorun.inf то он нужный.

Цитата:
Цитата kaban-keb
обнаружил на рабочем столе порно-беннер »
Будем лечить от порнобаннера? Или вы самостоятельно нашли выход? :)
Цитата:
Цитата kaban-keb
А так- 7 минут времени и система восстановлена »

Kaban-keb 28-05-2010 19:27 1423134
Да нет, лечить не будем. Восстановил систему из образа, сделаного сразу после лечения. Хотя не эти ли модицикации IAT запустили его? Ждёмс ответа от Каспера. Спасибо.

Drongo 28-05-2010 21:30 1423192
Цитата:
Цитата kaban-keb
Хотя не эти ли модицикации IAT запустили его? »
Нет конечно. :no: Где-то на просторах Интернета видимо хорошо "гульнули", может голых девочек где рассматривали? :teeth:

Kaban-keb 29-05-2010 01:38 1423312
Да как вам доктор сказать? :) После сохранения операционки, дал рукам разгуляться :o. А если серьёзно эти модицикации IAT находятся в сохранённом образе системы, т.к. сделан он сразу же после выполнения последнего скрипта. А от Каспера пока ответа нет. Кстати, я, до того как написать на форум, про найденные угрозы утилитой Kaspersky Virus Removal Tool, уже заказывал помощь у них по ссылке из вкладки "Ручное лечение"- "Отправить запрос", кажется. И до сих пор, уже двое суток молчат, как партизаны, не то что здесь. Интересно, если кто-нибудь получал у них помощь- надолго это затянется?

Drongo 29-05-2010 11:42 1423463
Цитата:
Цитата kaban-keb
Интересно, если кто-нибудь получал у них помощь- надолго это затянется? »
Сам я к ним ни разу не обращался, ответить не смогу.

А если есть желание научиться самому лечить системы, то милости просим - Обучение методам грамотного лечения от вредоносных программ

Kaban-keb 30-05-2010 16:43 1424057
Вот такой ответ пришёл от http://virusinfo.info/:
"Завершение лечения
Следы вирусного заражения не обнаружены. Если остались определенные проблемы, то они, возможно, связаны с проблемами аппаратного обеспечения или не несут вирусного характера.
Я не зарегистрирован на том форуме и поэтому не могу видеть рисунков. Судя по всему Ваша проблема уже решена.
При необходимости обратитесь к техническим специалистам по месту жительства.
Можно закрыть заявку?"
Считаю проблему решённой, а тему завершённой.
Большое спасибо модераторам iskander-k и Drongo.
P.S.Drongo, а Вы шутник:
Цитата:
Цитата Drongo
Нет конечно. Где-то на просторах Интернета видимо хорошо "гульнули", может голых девочек где рассматривали? »
:)

Drongo 30-05-2010 17:10 1424068
Цитата:
Цитата kaban-keb
P.S.Drongo, а Вы шутник »
Чуть-чуть. :) Просто чаще всего порнографические баннеры производят перенаправление на сомнительные сайты со всякой вируснёй.


Время: 08:55.

Время: 08:55.
© OSzone.net 2001-