Цитата Angelofdeath:
|
Не смог найти приложение winpcap. »
|
Combofix вы видимо несколько раз запускали, при первом запуске NPF (NetGroup Packet Filter Driver) д.б. удалиться
c:\program files\Passcape - вроде д.б. от Passcape Outlook Password Recovery - удалите, если возможно, предварительно деинсталлируйте, CursorXP также можно деинсталлировать (м.б. проблемы, с совместимотью на windows XP3), Multi Password Recovery и Radmin удалили?
e:\program\KillCopy\kcresume.exe - проверьте на virustotal.com, результат сообщите.
Очистите временные файлы с помощью
ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска, удалите все *.tmp из папки c:\windows\
Сохраните реестр:
Скачайте
ERUNT, установите и запустите, выберите папку для сохранения, в backup options должны бить отмечены галочками строчки "System registry" и "Current user registry", "Other open user registries" нажмите "Ok" и подтвердите создание папки.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
e:\program\Multi Password Recovery\mpr_freader.sys
Driver::
mpr_freader
Folder::
c:\program files\Passcape
e:\program\Multi Password Recovery
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c8509f6-2997-11dd-950d-00161796901a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a8e17e9c-299d-11dd-9512-00161796901a}]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение, сделайте новые логи virusinfo_syscheck.zip и Hijackthis.
Непонятно, зачем вы фиксили когда-то эти строчки (из лога info.txt)
Цитата:
=====HijackThis Backups=====
O8 - Extra context menu item: Закачать при помощи Download Master - E:\Program\Download Master\dmie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B92FB2B8-3ADA-41C9-B43E-109CBE1C1439}: NameServer = 81.25.32.34,81.25.32.9
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\windows\System32\SCardSvr.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\windows\system32\smlogsvc.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\windows\system32\services.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - E:\Games\Need for Speed Undercover\PB\PnkBstrA.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\windows\System32\vssvc.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - E:\Program\Download Master\dmaster.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B61F53A-9030-4793-ABBA-47E57E13212C}: NameServer = 81.25.32.34,81.25.32.9
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - E:\Program\Download Master\dmieall.htm
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - E:\Program\Download Master\dmaster.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - E:\Program\DOWNLO~1\dmiehlp.dll
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\windows\system32\services.exe
O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\rserver3.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://passport.webmoney.ru/
|
Строчки легитимные, а после фикса могли возникнуть большие проблемы, обычно после такого можно или переустанавливать систему, или вернуться на точку восстановления до первого Fix Checked или попытаться восстановить необходимые строчки, запустив HijackThis, далее View the list of backups > выбрать нужные строчки и нажать Restore.
