Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Проверьте пожалуйста логи.

< Предыдущая 1 2 3 Следующая >
Ответить
Настройки темы
[решено] Проверьте пожалуйста логи.

Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0


Конфигурация

Профиль | Отправить PM | Цитировать

Добрый день, проверьте пожалуйста логи. Не дают покоя результаты проверки утилитой "Malwarebytes' Anti-Malware" (фото и отчёт прикладываю). Утилитой CureIt проверил, было удалено куча инфицированных объектов, однако кажется что-то осталось. Спасибо.

Отправлено: 19:58, 22-05-2010

 

Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

Отчёт SDFix:
Код: Выделить весь код
SDFix: Version 1.240 
Run by Admin on 23.05.2010 at 16:24

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

D:\Documents and Settings\Admin\Local Settings\Temp\NEW4.tmp.exe - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-23 16:27:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?W?i?n?d?o?w?s?"="",,,,,,,,,,,,,""
"\37\4>\0044\0042\48\0046\4=\0040\4O\4 ?W?i?n?d?o?w?s?"=""D:\WINDOWS\Cursors\rainbow.ani,,D:\WINDOWS\Cursors\appstart.ani,D:\WINDOWS\Cursors\hourglas.ani,D:\WINDOWS\Cursors\cross.cur,,,,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\Cursors\sizewe.ani,D:\WINDOWS\Cursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\0045\4;\0040\4O\4"=""D:\WINDOWS\Cursors\3dwarro.cur,,D:\WINDOWS\Cursors\appstar3.ani,D:\WINDOWS\Cursors\hourgla3.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dwno.cur,D:\WINDOWS\Cursors\3dwns.cur,D:\WINDOWS\Cursors\3dwwe.cur,D:\WINDOWS\Cursors\3dwnwse.cur,D:\WINDOWS\Cursors\3dwnesw.cur,D:\WINDOWS\Cursors\3dwmove.cur,""
" \4C\4:\48\4 ?1?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\hand.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\hnodrop.cur,D:\WINDOWS\Cursors\hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WINDOWS\Cursors\hmove.cur,""
" \4C\4:\48\4 ?2?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\handwait.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\handno.ani,D:\WINDOWS\Cursors\handns.ani,D:\WINDOWS\Cursors\handwe.ani,D:\WINDOWS\Cursors\handnwse.ani,D:\WINDOWS\Cursors\handnesw.ani,D:\WINDOWS\Cursors\hmove.cur,""
"\24\48\4=\4>\0047\0040\0042\4@\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\dinosaur.ani,D:\WINDOWS\Cursors\dinosau2.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\banana.ani,D:\WINDOWS\Cursors\3dsns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dsnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dsmove.cur,""
"\22\4 ?A\4B\0040\4@\4>\4<\4 ?A\4B\48\4;\0045\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\horse.ani,D:\WINDOWS\Cursors\barber.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\coin.ani,D:\WINDOWS\Cursors\3dgns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dgmove.cur,""
"\24\48\4@\48\0046\0045\4@\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\drum.ani,D:\WINDOWS\Cursors\metronom.ani,D:\WINDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\piano.ani,D:\WINDOWS\Cursors\hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WINDOWS\Cursors\hmove.cur,""
"#\0042\0045\4;\48\4G\0045\4=\4=\0040\4O\4"=""D:\WINDOWS\Cursors\larrow.cur,,D:\WINDOWS\Cursors\lappstrt.cur,D:\WINDOWS\Cursors\lwait.cur,D:\WINDOWS\Cursors\lcross.cur,D:\WINDOWS\Cursors\libeam.cur,,D:\WINDOWS\Cursors\lnodrop.cur,D:\WINDOWS\Cursors\lns.cur,D:\WINDOWS\Cursors\lwe.cur,D:\WINDOWS\Cursors\lnwse.cur,D:\WINDOWS\Cursors\lnesw.cur,D:\WINDOWS\Cursors\lmove.cur,""
"\22\0040\4@\48\0040\4F\48\48\4"=""D:\WINDOWS\Cursors\fillitup.ani,,D:\WINDOWS\Cursors\raindrop.ani,D:\WINDOWS\Cursors\counter.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\wagtail.ani,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\Cursors\sizewe.ani,D:\WINDOWS\Cursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\4@\4>\4=\0047\4>\0042\0040\4O\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\appstar2.ani,D:\WINDOWS\Cursors\hourgla2.ani,D:\WINDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dgno.cur,D:\WINDOWS\Cursors\3dgns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dgmove.cur,""
"'\0045\4@\4=\0040\4O\4 ?"="D:\WINDOWS\cursors\arrow_r.cur,D:\WINDOWS\cursors\help_r.cur,D:\WINDOWS\cursors\wait_r.cur,D:\WINDOWS\cursors\busy_r.cur,D:\WINDOWS\cursors\cross_r.cur,D:\WINDOWS\cursors\beam_r.cur,D:\WINDOWS\cursors\pen_r.cur,D:\WINDOWS\cursors\no_r.cur,D:\WINDOWS\cursors\size4_r.cur,D:\WINDOWS\cursors\size3_r.cur,D:\WINDOWS\cursors\size2_r.cur,D:\WINDOWS\cursors\size1_r.cur,D:\WINDOWS\cursors\move_r.cur,D:\WINDOWS\cursors\up_r.cur"
"'\0045\4@\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rm.cur,D:\WINDOWS\cursors\help_rm.cur,D:\WINDOWS\cursors\wait_rm.cur,D:\WINDOWS\cursors\busy_rm.cur,D:\WINDOWS\cursors\cross_rm.cur,D:\WINDOWS\cursors\beam_rm.cur,D:\WINDOWS\cursors\pen_rm.cur,D:\WINDOWS\cursors\no_rm.cur,D:\WINDOWS\cursors\size4_rm.cur,D:\WINDOWS\cursors\size3_rm.cur,D:\WINDOWS\cursors\size2_rm.cur,D:\WINDOWS\cursors\size1_rm.cur,D:\WINDOWS\cursors\move_rm.cur,D:\WINDOWS\cursors\up_rm.cur"
"'\0045\4@\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rl.cur,D:\WINDOWS\cursors\help_rl.cur,D:\WINDOWS\cursors\wait_rl.cur,D:\WINDOWS\cursors\busy_rl.cur,D:\WINDOWS\cursors\cross_rl.cur,D:\WINDOWS\cursors\beam_rl.cur,D:\WINDOWS\cursors\pen_rl.cur,D:\WINDOWS\cursors\no_rl.cur,D:\WINDOWS\cursors\size4_rl.cur,D:\WINDOWS\cursors\size3_rl.cur,D:\WINDOWS\cursors\size2_rl.cur,D:\WINDOWS\cursors\size1_rl.cur,D:\WINDOWS\cursors\move_rl.cur,D:\WINDOWS\cursors\up_rl.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"="D:\WINDOWS\cursors\arrow_i.cur,D:\WINDOWS\cursors\help_i.cur,D:\WINDOWS\cursors\wait_i.cur,D:\WINDOWS\cursors\busy_i.cur,D:\WINDOWS\cursors\cross_i.cur,D:\WINDOWS\cursors\beam_i.cur,D:\WINDOWS\cursors\pen_i.cur,D:\WINDOWS\cursors\no_i.cur,D:\WINDOWS\cursors\size4_i.cur,D:\WINDOWS\cursors\size3_i.cur,D:\WINDOWS\cursors\size2_i.cur,D:\WINDOWS\cursors\size1_i.cur,D:\WINDOWS\cursors\move_i.cur,D:\WINDOWS\cursors\up_i.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_im.cur,D:\WINDOWS\cursors\help_im.cur,D:\WINDOWS\cursors\wait_im.cur,D:\WINDOWS\cursors\busy_im.cur,D:\WINDOWS\cursors\cross_im.cur,D:\WINDOWS\cursors\beam_im.cur,D:\WINDOWS\cursors\pen_im.cur,D:\WINDOWS\cursors\no_im.cur,D:\WINDOWS\cursors\size4_im.cur,D:\WINDOWS\cursors\size3_im.cur,D:\WINDOWS\cursors\size2_im.cur,D:\WINDOWS\cursors\size1_im.cur,D:\WINDOWS\cursors\move_im.cur,D:\WINDOWS\cursors\up_im.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_il.cur,D:\WINDOWS\cursors\help_il.cur,D:\WINDOWS\cursors\wait_il.cur,D:\WINDOWS\cursors\busy_il.cur,D:\WINDOWS\cursors\cross_il.cur,D:\WINDOWS\cursors\beam_il.cur,D:\WINDOWS\cursors\pen_il.cur,D:\WINDOWS\cursors\no_il.cur,D:\WINDOWS\cursors\size4_il.cur,D:\WINDOWS\cursors\size3_il.cur,D:\WINDOWS\cursors\size2_il.cur,D:\WINDOWS\cursors\size1_il.cur,D:\WINDOWS\cursors\move_il.cur,D:\WINDOWS\cursors\up_il.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_m.cur,D:\WINDOWS\cursors\help_m.cur,D:\WINDOWS\cursors\wait_m.cur,D:\WINDOWS\cursors\busy_m.cur,D:\WINDOWS\cursors\cross_m.cur,D:\WINDOWS\cursors\beam_m.cur,D:\WINDOWS\cursors\pen_m.cur,D:\WINDOWS\cursors\no_m.cur,D:\WINDOWS\cursors\size4_m.cur,D:\WINDOWS\cursors\size3_m.cur,D:\WINDOWS\cursors\size2_m.cur,D:\WINDOWS\cursors\size1_m.cur,D:\WINDOWS\cursors\move_m.cur,D:\WINDOWS\cursors\up_m.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_l.cur,D:\WINDOWS\cursors\help_l.cur,D:\WINDOWS\cursors\wait_l.cur,D:\WINDOWS\cursors\busy_l.cur,D:\WINDOWS\cursors\cross_l.cur,D:\WINDOWS\cursors\beam_l.cur,D:\WINDOWS\cursors\pen_l.cur,D:\WINDOWS\cursors\no_l.cur,D:\WINDOWS\cursors\size4_l.cur,D:\WINDOWS\cursors\size3_l.cur,D:\WINDOWS\cursors\size2_l.cur,D:\WINDOWS\cursors\size1_l.cur,D:\WINDOWS\cursors\move_l.cur,D:\WINDOWS\cursors\up_l.cur"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

Remaining Files :


File Backups: - D:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 May 2010         4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 25 Nov 2009       308,592 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\Maint.exe"
Thu  6 Mar 2008        61,440 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\uinstrsc.dll"
Wed 10 Dec 2008       308,576 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\Maint.exe"
Sun 22 Mar 2009        61,440 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\uinstrsc.dll"

Finished!
RSIT:

-------
-------
Временно на учёбе

Последний раз редактировалось Kaban-keb, 08-12-2010 в 23:02.

Отправлено: 16:38, 23-05-2010 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

Критически вредного ничего не увидел. Выполните ещё такой утилитой прогон.

• Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:18, 23-05-2010 | #12


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

ComboFix.zip:

-------
-------
Временно на учёбе

Последний раз редактировалось Kaban-keb, 08-12-2010 в 23:02.

Отправлено: 22:15, 23-05-2010 | #13


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код: Выделить весь код
File::
d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Это сообщение посчитали полезным следующие участники:

Отправлено: 13:07, 24-05-2010 | #14


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

ComboFix.txt 1/2:
Код: Выделить весь код
ComboFix 10-05-23.06 - Admin 24.05.2010  13:24:49.2.4 - x86
Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.3039.2550 [GMT 4:00]
Running from: d:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: d:\documents and settings\Admin\Рабочий стол\CFScript.txt

FILE ::
"d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

.
(((((((((((((((((((((((((   Files Created from 2010-04-24 to 2010-05-24  )))))))))))))))))))))))))))))))
.

2010-05-23 18:14 . 2010-05-23 18:14	7840	----a-w-	D:\ComboFix.zip
2010-05-23 12:31 . 2010-05-23 12:31	--------	d-----w-	D:\rsit
2010-05-23 12:31 . 2010-05-23 12:31	--------	d-----w-	d:\program files\trend micro
2010-05-23 12:24 . 2010-05-23 12:24	579072	-c--a-w-	d:\windows\system32\dllcache\user32.dll
2010-05-23 12:23 . 2010-05-23 12:23	--------	d-----w-	d:\windows\ERUNT
2010-05-23 12:14 . 2010-05-23 12:28	--------	d-----w-	D:\SDFix
2010-05-22 15:04 . 2010-05-22 15:04	11264	----a-w-	d:\windows\system32\drivers\uzcynze0.sys
2010-05-18 19:35 . 2005-08-16 07:38	17516	----a-w-	d:\windows\system32\drivers\frmupgr.sys
2010-05-18 19:35 . 2005-08-16 07:34	44163	----a-w-	d:\windows\system32\drivers\btwhid.sys
2010-05-18 16:58 . 2010-05-18 16:58	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\WMTools Downloaded Files
2010-05-17 20:34 . 2010-05-17 20:34	--------	d-----w-	d:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-05-17 20:29 . 2010-05-17 20:29	--------	d-----w-	d:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:28	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:29	--------	d-----w-	d:\program files\Google
2010-05-17 20:16 . 2006-01-30 07:32	5632	----a-w-	d:\windows\system32\pxc25pm.dll
2010-05-17 20:16 . 2004-12-07 05:11	258352	----a-w-	d:\windows\system32\unicows.dll
2010-05-17 20:16 . 2010-05-17 20:19	--------	d-----w-	d:\program files\ABBYY PDF Transformer 2.0
2010-05-17 19:43 . 2010-05-17 19:43	--------	d-----w-	d:\documents and settings\Admin\Application Data\ABBYY
2010-05-17 18:11 . 2010-05-17 19:43	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\ABBYY
2010-05-17 17:07 . 2010-05-17 17:07	--------	d-----w-	d:\windows\Sun
2010-05-17 16:13 . 2010-05-17 16:13	--------	d-----w-	d:\program files\Tracker Software
2010-05-17 14:58 . 2009-12-17 20:14	30536	----a-w-	d:\windows\system32\TURegOpt.exe
2010-05-17 14:58 . 2009-12-17 20:08	30024	----a-w-	d:\windows\system32\uxtuneup.dll
2010-05-17 14:58 . 2010-05-17 14:58	--------	d-----w-	d:\documents and settings\Admin\Application Data\TuneUp Software
2010-05-17 14:58 . 2010-05-17 14:58	--------	d-----w-	d:\program files\TuneUp Utilities 2010
2010-05-17 14:55 . 2010-05-17 14:58	--------	d-----w-	d:\documents and settings\All Users\Application Data\TuneUp Software
2010-05-17 14:55 . 2010-05-17 14:55	--------	d-sh--w-	d:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-05-16 18:06 . 2010-05-16 18:06	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Cyberlink
2010-05-16 18:05 . 2010-05-16 18:05	--------	d-----w-	d:\program files\Common Files\CyberLink
2010-05-16 18:05 . 2010-05-16 18:05	--------	d-----w-	d:\program files\CyberLink
2010-05-16 18:04 . 2010-05-16 18:04	29480	----a-w-	d:\windows\system32\msxml3a.dll
2010-05-16 18:04 . 2010-05-16 18:04	53319	----a-w-	d:\documents and settings\All Users\Application Data\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2010-05-16 17:42 . 2010-05-16 17:42	--------	d-----w-	d:\documents and settings\Admin\Application Data\CyberLink
2010-05-16 17:40 . 2010-05-16 17:40	--------	d-----w-	d:\documents and settings\All Users\Application Data\CyberLink
2010-05-16 16:51 . 2010-05-18 16:11	--------	d---a-w-	d:\documents and settings\All Users\Application Data\TEMP
2010-05-16 16:51 . 2010-05-16 16:52	--------	d-----w-	d:\program files\AoA Audio Extractor
2010-05-16 13:04 . 2010-05-16 13:09	--------	d-----w-	d:\program files\Runtime Software
2010-05-15 20:17 . 2010-05-15 20:17	--------	d-----w-	d:\program files\PC Inspector File Recovery
2010-05-15 16:44 . 2010-05-15 16:47	--------	d-----w-	d:\program files\Unlocker
2010-05-15 16:29 . 2010-05-15 16:29	--------	d-----w-	d:\documents and settings\Admin\Application Data\Yandex
2010-05-15 16:28 . 2010-05-15 16:28	0	----a-w-	d:\windows\nsreg.dat
2010-05-15 16:28 . 2010-05-15 16:28	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Mozilla
2010-05-15 15:50 . 2010-05-16 17:30	--------	d-----w-	d:\documents and settings\Admin\Application Data\petromap
2010-05-15 15:49 . 2010-05-16 17:30	--------	d-----w-	d:\program files\Карта Петрозаводска
2010-05-13 17:20 . 2010-05-13 17:20	--------	d-----w-	d:\program files\MediaInfo
2010-05-13 16:59 . 2010-05-13 16:59	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\ACD Systems
2010-05-13 16:59 . 2010-05-13 16:59	--------	d-----w-	d:\documents and settings\Admin\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58	--------	d-----w-	d:\documents and settings\All Users\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58	--------	d-----w-	d:\program files\Common Files\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58	--------	d-----w-	d:\program files\ACD Systems
2010-05-12 19:06 . 2005-09-01 07:03	5888	------w-	d:\windows\system32\drivers\imagedrv.sys
2010-05-12 19:06 . 2005-09-01 07:03	127488	------w-	d:\windows\system32\drivers\imagesrv.sys
2010-05-12 19:06 . 2006-01-12 11:40	155648	----a-w-	d:\windows\system32\NeroCheck.exe
2010-05-12 19:06 . 2000-06-26 06:45	106496	----a-w-	d:\windows\system32\TwnLib20.dll
2010-05-12 19:06 . 2010-05-12 19:06	--------	d-----w-	d:\program files\Ahead
2010-05-12 19:06 . 2010-05-12 19:06	--------	d-----w-	d:\program files\Common Files\Ahead
2010-05-12 17:56 . 2010-05-12 17:56	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Ahead
2010-05-11 17:55 . 2010-05-11 17:55	--------	d-----w-	d:\documents and settings\All Users\Application Data\LightScribe
2010-05-11 17:55 . 2010-05-11 18:04	--------	d-----w-	d:\documents and settings\Admin\Application Data\Nero
2010-05-11 17:09 . 2010-05-11 18:51	--------	d-----w-	d:\program files\Common Files\Nero
2010-05-11 17:09 . 2010-05-11 18:51	--------	d-----w-	d:\documents and settings\All Users\Application Data\Nero
2010-05-10 17:58 . 2010-05-10 17:58	56	---ha-w-	d:\windows\system32\ezsidmv.dat
2010-05-10 17:58 . 2010-05-10 17:58	--------	d-----w-	d:\documents and settings\Admin\Application Data\skypePM
2010-05-10 14:23 . 2010-05-10 18:01	--------	d-----w-	d:\documents and settings\Admin\Application Data\Skype
2010-05-10 14:23 . 2010-05-10 14:23	--------	d-----w-	d:\program files\Common Files\Skype
2010-05-10 14:23 . 2010-05-10 14:23	--------	d-----r-	d:\program files\Skype
2010-05-10 14:23 . 2010-05-10 14:23	--------	d-----w-	d:\documents and settings\All Users\Application Data\Skype
2010-05-10 13:53 . 2010-05-15 15:35	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Paint.NET
2010-05-10 13:49 . 2010-05-10 13:49	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Opera
2010-05-10 13:49 . 2010-05-10 13:49	--------	d-----w-	d:\program files\Opera
2010-05-10 13:02 . 2010-05-10 13:02	223128	----a-w-	d:\windows\system32\drivers\vaxscsi.sys
2010-05-10 13:02 . 2010-05-10 13:02	--------	d-----w-	d:\program files\Alcohol Soft
2010-05-10 12:51 . 2010-05-17 18:12	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Adobe
2010-05-10 12:50 . 2010-05-17 18:12	--------	d-----w-	d:\program files\Common Files\Adobe
2010-05-10 12:40 . 2008-09-26 14:01	621056	----a-r-	d:\windows\system32\drivers\mod7700.sys
2010-05-10 12:40 . 2008-09-26 14:01	113664	----a-r-	d:\windows\system32\drivers\ewusbnet.sys
2010-05-10 12:40 . 2008-09-26 14:01	101376	----a-r-	d:\windows\system32\drivers\ewusbmdm.sys
2010-05-10 12:40 . 2008-09-26 14:00	24448	----a-r-	d:\windows\system32\drivers\ewdcsc.sys
2010-05-10 12:39 . 2010-05-10 12:41	--------	d-----w-	d:\program files\MegaFon Internet
2010-05-10 12:04 . 2010-05-10 12:14	--------	d-----w-	d:\documents and settings\Admin\Application Data\Download Master
2010-05-10 12:04 . 2007-12-18 10:56	1412608	----a-w-	d:\documents and settings\Admin\Application Data\Download Master\temp\skin.dll
2010-05-10 12:04 . 2010-05-10 12:04	--------	d-----w-	d:\program files\Download Master
2010-05-10 11:50 . 2010-05-10 12:00	891	----a-w-	d:\windows\system32\secushr.dat
2010-05-10 11:49 . 2010-05-10 11:49	--------	d-----w-	d:\documents and settings\Admin\Application Data\FlashGet
2010-05-10 11:19 . 2010-05-10 11:19	--------	d-----w-	d:\documents and settings\Admin\Local Settings\Application Data\Help
2010-05-10 11:19 . 2010-05-10 11:38	--------	d-----w-	d:\program files\GoldWave
2010-05-10 11:07 . 2010-05-15 15:54	--------	d-----w-	d:\program files\Контур Петрозаводск
2010-05-10 11:00 . 2010-05-10 11:00	--------	d-----w-	d:\program files\LizardTech
2010-05-10 10:54 . 2010-05-10 10:55	--------	d-----w-	d:\windows\ShellNew
2010-05-10 10:32 . 2010-05-10 10:32	--------	d--h--w-	d:\documents and settings\All Users\Application Data\CanonIJScan
2010-05-10 10:30 . 2010-05-10 10:32	--------	d-----w-	d:\documents and settings\Admin\Application Data\Canon
2010-05-10 08:24 . 2009-04-28 11:41	303104	----a-w-	d:\windows\system32\CNC640L.dll
2010-05-10 08:24 . 2009-04-03 12:00	1310720	----a-w-	d:\windows\system32\CNC640C.dll
2010-05-10 08:24 . 2009-04-03 11:59	110592	----a-w-	d:\windows\system32\CNC640I.dll
2010-05-10 08:24 . 2009-04-03 11:57	106496	----a-w-	d:\windows\system32\CNC640U.dll
2010-05-10 08:24 . 2008-08-25 14:02	15872	----a-w-	d:\windows\system32\CNHMCA.dll
2010-05-10 08:24 . 2008-04-13 20:15	15104	-c--a-w-	d:\windows\system32\dllcache\usbscan.sys
2010-05-10 08:24 . 2008-04-13 20:15	15104	----a-w-	d:\windows\system32\drivers\usbscan.sys
2010-05-10 08:24 . 2010-05-10 08:44	--------	d-----w-	d:\documents and settings\Admin\Application Data\Canon Easy-WebPrint EX
2010-05-10 08:24 . 2010-05-10 08:24	--------	d-----w-	d:\program files\Common Files\CANON
2010-05-10 08:22 . 2010-05-10 08:22	--------	d--h--w-	d:\documents and settings\All Users\Application Data\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22	--------	d--h--w-	d:\windows\system32\CanonIJ Uninstaller Information
2010-05-10 08:22 . 2009-05-26 01:00	70656	----a-w-	d:\windows\system32\Spool\prtprocs\w32x86\CNMPPA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00	27648	----a-w-	d:\windows\system32\Spool\prtprocs\w32x86\CNMPDA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00	272384	----a-w-	d:\windows\system32\CNMLMA2.DLL
2010-05-10 08:22 . 2009-03-18 00:09	178176	----a-w-	d:\windows\system32\CNMIUA2.DLL
2010-05-10 08:22 . 2009-02-04 04:17	90112	----a-w-	d:\windows\system32\CNC640O.dll
2010-05-10 08:22 . 2010-05-10 08:22	--------	d--h--w-	d:\program files\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22	--------	d-----w-	d:\windows\system32\STRING
2010-05-10 08:22 . 2010-05-10 08:22	--------	d-----w-	d:\windows\system32\CHM
2010-05-10 08:22 . 2009-04-03 07:51	137216	----a-w-	d:\windows\system32\CNMNPUI.DLL
2010-05-10 08:22 . 2009-04-03 07:51	353792	----a-w-	d:\windows\system32\CNMNPPM.DLL
2010-05-10 08:20 . 2010-05-10 08:24	--------	d-----w-	d:\program files\Canon
2010-05-10 08:17 . 2008-04-13 20:17	25856	-c--a-w-	d:\windows\system32\dllcache\usbprint.sys
2010-05-10 08:17 . 2008-04-13 20:17	25856	----a-w-	d:\windows\system32\drivers\usbprint.sys
2010-05-08 20:20 . 2010-05-08 20:20	--------	d-----w-	d:\documents and settings\Admin\Application Data\Media Player Classic
2010-05-08 19:59 . 2010-05-08 19:59	--------	d-----w-	d:\windows\system32\LogFiles
2010-05-08 19:58 . 2008-04-13 20:15	26112	-c--a-w-	d:\windows\system32\dllcache\usbser.sys
2010-05-08 19:58 . 2008-04-13 20:15	26112	----a-w-	d:\windows\system32\drivers\usbser.sys
2010-05-08 19:56 . 2008-03-21 09:57	14640	------w-	d:\windows\system32\spmsgXP_2k3.dll
2010-05-08 19:56 . 2010-05-08 19:56	--------	d-----w-	d:\documents and settings\Admin\Application Data\Nokia
2010-05-08 19:56 . 2010-05-08 19:59	--------	d-----w-	d:\documents and settings\Admin\Application Data\PC Suite
2010-05-08 19:56 . 2010-05-08 19:59	--------	d-----w-	d:\documents and settings\All Users\Application Data\PC Suite
2010-05-08 19:54 . 2010-05-08 19:54	95232	----a-w-	d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-05-08 19:54 . 2010-05-08 19:54	8192	----a-w-	d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-24 09:24 . 2008-04-15 13:00	77078	----a-w-	d:\windows\system32\perfc019.dat
2010-05-24 09:24 . 2008-04-15 13:00	448934	----a-w-	d:\windows\system32\perfh019.dat
2010-05-08 20:23 . 2010-05-08 20:23	--------	d-----w-	d:\program files\K-Lite Codec Pack
2010-05-08 19:59 . 2010-05-08 19:59	0	---ha-w-	d:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-05-08 19:59 . 2010-05-08 19:59	0	---ha-w-	d:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-05-08 19:56 . 2010-05-08 19:56	0	---ha-w-	d:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2010-05-08 19:56 . 2010-05-08 19:56	0	---ha-w-	d:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-05-08 19:55 . 2010-05-08 19:55	--------	d-----w-	d:\program files\Common Files\PCSuite
2010-05-08 19:55 . 2010-05-08 19:55	--------	d-----w-	d:\program files\Common Files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55	--------	d-----w-	d:\program files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55	--------	d-----w-	d:\program files\DIFX
2010-05-08 19:55 . 2010-05-08 19:55	--------	d-----w-	d:\program files\PC Connectivity Solution
2010-05-07 15:01 . 2010-05-04 21:55	86327	----a-w-	d:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-05 16:10 . 2010-05-05 16:10	0	---ha-w-	d:\windows\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50	0	---ha-w-	d:\windows\system32\drivers\Msft_Kernel_enecir_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50	0	---ha-w-	d:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-05-05 01:50 . 2010-05-05 01:50	--------	d-----w-	d:\program files\IDT
2010-05-04 22:09 . 2010-05-04 22:09	552	----a-w-	d:\windows\system32\d3d8caps.dat
2010-05-04 21:59 . 2010-05-04 21:59	--------	d-----w-	d:\program files\VistaDriveIcon
2010-05-04 21:59 . 2010-05-04 21:59	722416	----a-w-	d:\windows\system32\drivers\sptd.sys
2010-05-04 21:59 . 2010-05-04 21:59	--------	d---a-w-	d:\program files\Paint.NET
2010-05-04 21:58 . 2010-05-04 21:59	411368	----a-w-	d:\windows\system32\deploytk.dll
2010-05-04 21:58 . 2010-05-04 21:58	--------	d-----w-	d:\program files\Java
2010-05-04 21:53 . 2010-05-04 21:53	22564	----a-w-	d:\windows\system32\emptyregdb.dat
2010-05-04 21:53 . 2010-05-04 21:53	--------	d-----w-	d:\program files\Windows Media Connect 2
2010-04-21 19:27 . 2010-05-08 19:55	34001264	----a-w-	d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_rus_web.exe
2010-03-09 07:01 . 2010-04-29 17:27	130672	----a-w-	d:\windows\system32\drivers\jmcr.sys
.

------- Sigcheck -------

[-] 2009-09-13 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . d:\windows\system32\drivers\tcpip.sys

[-] 2009-09-13 . 85315C6F61092584BCD96A1EF8A02B4C . 78360 . . [7.2.6001.788] . . d:\windows\system32\wuauclt.exe

[-] 2010-05-23 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\dllcache\user32.dll
[-] 2009-09-13 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\user32.dll

[-] 2009-09-13 . 7BF5762CE65A58B7C15B78673F3C3DD3 . 1040384 . . [8.00.6001.22896] . . d:\windows\system32\wininet.dll

[-] 2009-09-13 . B8D3A575A3C0E1A4B724E2BD05394E60 . 1721344 . . [6.00.2900.5512] . . d:\windows\explorer.exe

[-] 2009-09-13 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll

[-] 2009-09-13 . C4C2628D119D2FF1B7723E084F4B181E . 30208 . . [5.1.2600.5512] . . d:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((((   SnapShot@2010-05-23_18.03.22   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-15 13:00 . 2010-05-23 12:30	63862              d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24	63862              d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24	406662              d:\windows\system32\perfh009.dat
- 2008-04-15 13:00 . 2010-05-23 12:30	406662              d:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
"Download Master"="d:\program files\Download Master\dmaster.exe" [2010-04-30 3791360]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-17 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="d:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
"HP Software Update"="d:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="d:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-09-01 499768]
"QlbCtrl.exe"="d:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 321080]
"CanonMyPrinter"="d:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]
"CanonSolutionMenu"="d:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-17 767312]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"UnlockerAssistant"="d:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
"RemoteControl9"="d:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-11-29 87336]
"BDRegion"="d:\program files\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2009-09-13 30208]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-09-13 128512]
"IE8_02"="advpack.dll" [2009-09-13 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"MaxRecentDocs"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
"MSMSGS"="d:\program files\Messenger\msmsgs.exe" /background
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20548:TCP"= 20548:TCP

R1 uzcynze0;AVZ-RK Kernel Driver;d:\windows\system32\drivers\uzcynze0.sys [22.05.2010 19:04 11264]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/05/16 22:05];d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl [29.11.2009 18:41 87536]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [18.12.2009 0:12 1044808]
R3 AESTAud;AE Audio Service;d:\windows\system32\drivers\AESTAud.sys [05.05.2010 5:45 113664]
R3 Com4QLBEx;Com4QLBEx;d:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [05.05.2010 20:10 228408]
R3 enecir;ENE CIR Receiver;d:\windows\system32\drivers\enecir.sys [29.04.2010 21:27 54784]
R3 enecirhid;ENE CIR HID Receiver;d:\windows\system32\drivers\enecirhid.sys [29.04.2010 21:27 11264]
R3 enecirhidma;ENE CIR HIDmini Filter;d:\windows\system32\drivers\enecirhidma.sys [29.04.2010 21:27 5632]
R3 JMCR;JMCR;d:\windows\system32\drivers\jmcr.sys [29.04.2010 21:27 130672]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 7:24 10064]
S0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [05.05.2010 1:59 722416]
S2 gupdate;Служба Google Update (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [18.05.2010 0:29 136176]
S3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [10.05.2010 17:02 223128]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-05-19 d:\windows\Tasks\Automatic troubleshooting.job
- d:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-12-17 20:18]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel - d:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: Google ВикиКомментарии... - d:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Закачать ВСЕ при помощи Download Master - d:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - d:\program files\Download Master\dmie.htm
IE: Отправить через &Bluetooth - d:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Передать на удаленную закачку DM - d:\program files\Download Master\remdown.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - d:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Trusted Zone: kuaiche.com\software
FF - ProfilePath - d:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\wuievqru.default\
FF - plugin: d:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL
FF - plugin: d:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: d:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: d:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)

-------
-------
Временно на учёбе

Отправлено: 13:34, 24-05-2010 | #15


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

ComboFix.txt 2/2:
Код: Выделить весь код

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-24 13:27
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\.Default\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\AppGPFault\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CCSelect\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Close\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Insert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Remove.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceFail\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\InternetAlert\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Battery Critical.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MailBeep\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\New Messages.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Maximize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Minimize.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuCommand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Menu Command.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuPopup\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Minimize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Restore.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Open\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\PrintComplete\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Print Complete.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreDown\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreUp\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\ShowBand\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Ringin.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExit\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Shutdown.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemHand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemNotification\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Exclamation.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStart\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Startup.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStartMenu\25@0*7~]
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Grab.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log Off.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log In.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\25@0*7~]
@="Windows Pop-up Blocked.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\25@0*7~]
@="Windows Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\Navigating\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\media\\Windows Navigation Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\25@0*7~]
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_ContactOnline\25@0*7~]
@="d:\\Program Files\\Messenger\\online.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewAlert\25@0*7~]
@="d:\\Program Files\\Messenger\\newalert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMail\25@0*7~]
@="d:\\Program Files\\Messenger\\newemail.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMessage\25@0*7~]
@="d:\\Program Files\\Messenger\\type.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Names\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Звер"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1200)
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\cscui.dll
d:\windows\system32\COMRes.dll
.
Completion time: 2010-05-24  13:27:57
ComboFix-quarantined-files.txt  2010-05-24 09:27
ComboFix2.txt  2010-05-23 18:04

Pre-Run: 10*882*023*424 байт свободно
Post-Run: 10*856*603*648 байт свободно

- - End Of File - - 675ECAB817C12E41D4D68AF32F72AF5E

-------
-------
Временно на учёбе

Отправлено: 13:35, 24-05-2010 | #16


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

kaban-keb, Какая реакция после выполнения скрипта?

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Отправлено: 15:09, 24-05-2010 | #17


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

Уважаемый Drongo, реакции после выполнения скрипта нет, т.к. запись в отчёте "МБАМ"- "D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken." пропала ещё после первого прогона утилитой "ComboFix". Предполагаю, что тему можно закрывать, но хотелось бы получить ответы:
1.За компьютером, кроме меня, будет работать ещё и девушка- совсем полная "блондинка". Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. Боюсь, как бы она не сделала что-нибудь не то с выбором загрузки. Можно ли как нибудь убрать её, поискал сам на http://support.microsoft.com/kb/307654/ru:
Код: Выделить весь код
Удаление консоли восстановления
Чтобы удалить консоль восстановления, выполните указанные ниже действия. 
Перезагрузите компьютер, выберите в меню Пуск пункт Мой компьютер, а затем два раза щелкните значок жесткого диска, на котором установлена консоль восстановления.
В меню Сервис выберите команду Свойства папки и перейдите на вкладку Вид.
Выберите вариант Показывать скрытые файлы и папки, снимите флажок Скрывать защищенные системные файлы и нажмите кнопку ОК.
В корневой папке диска удалите папку Cmdcons и файл Cmldr.
В корневой папке диска щелкните правой кнопкой мыши файл Boot.ini и выберите пункт Свойства.
Снимите флажок атрибута Только чтение и нажмите кнопку OК.
Предупреждение! Неправильное изменение файла Boot.ini может привести к проблемам с загрузкой компьютера. Удалите только запись, относящуюся к консоли восстановления. После этого снова установите для файла Boot.ini атрибут «Только чтение». Откройте файл Boot.ini с помощью программы «Блокнот» и удалите запись, относящуюся к консоли восстановления. Эта запись выглядит примерно так:
C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons
Сохраните и закройте файл.
Всё верно? А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или другого ПО) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb".
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты.
4.Аналогично D\Qoobox, содержащую карантин и отчеты
5.Можно ли удалить программу D:\Program Files\trend micro, думаю, что да .
6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?:
Цитата Pili:
не забудьте после окончания лечения удалить драйвер AVZM
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe"
8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит- окно пустое.
Была проведена довольно большая работа по установке ОС, поиску драйвов и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы.
Drongo, ответьте, пожалуйста, на вопросы. Спасибо.

-------
-------
Временно на учёбе

Последний раз редактировалось Kaban-keb, 24-05-2010 в 17:21.

Отправлено: 17:04, 24-05-2010 | #18


Аватара для Drongo

Будем жить, Маэстро...


Сообщения: 6694
Благодарности: 1393

Профиль | Сайт | Отправить PM | Цитировать

Цитата kaban-keb:
Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
»
Установить вы её не должны, поскольку в рекомендациях этого не было, разве что самостоятельно установили. Честно говоря, на этот вопрос у меня нет ответа. Давать рисковый совет не хочу, поэтому дождитесь если кто ответить что по этому вопросу.

Цитата kaban-keb:
2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или других ) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb". »
Можно, если есть Dr.Web, то удаляйте средствами самой программы. Если программы Dr.Web нет, то удалите вручную.
Цитата kaban-keb:
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты. »
Деинсталируйте программу через установку\удаление программ
Цитата kaban-keb:
4.Аналогично D\Qoobox, содержащую карантин и отчеты
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe" »
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата kaban-keb:
8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит. »
Код: Выделить весь код
begin
 ClearQuarantine;
 ExecuteRepair(6);
 RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Цитата kaban-keb:
6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?: »
Код: Выделить весь код
Begin
ExecuteStdScr(6);
 RebootWindows(true);
end.
И удалить папку с программой.

Цитата kaban-keb:
Была проведена довольно большая работа по установке ОС и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы. »
Конечно лучше было бы сделать образ чистой системы, а не пролеченой.

-------
Правильная постановка вопроса свидетельствует о некотором знакомстве с делом.
3нание бывает двух видов. Мы сами знаем предмет — или же знаем, где найти о нём сведения.
[Quick Killer 3.0 Final [OSZone.net]] | [Quick Killer 3.0 Final [SafeZone.cc]] | [Парсер логов Gmer] | [Парсер логов AVZ]

http://tools.oszone.net/Drongo/Userbar/SafeZone_cc.gif

Отправлено: 17:30, 24-05-2010 | #19


Аватара для Kaban-keb

Старожил


Сообщения: 189
Благодарности: 0

Профиль | Отправить PM | Цитировать

Консоль удалил без проблем, как указано. После лечения провёл полную проверку всего компьютера утилитами MBAM и CureIt (в безопасном режиме)- всё чисто (кроме инструмента, использовавшегося при лечении- SDFix.exe). Удалил следы всех антивирусных утилит. Напоследок было решено провести проверку и Касперской Virus Removal Tool. В обычном режиме- чисто, однако в ручном режиме были обнаружены какие-то угрозы. Можно ли знатокам ещё раз взглянуть на прилагаемое фото и логи (действительно ли это угрозы, ведь 2 антивиря ничего не распознали)? Если чего-то не хватает- выполню. Спасибо

-------
-------
Временно на учёбе

Последний раз редактировалось Kaban-keb, 08-12-2010 в 23:02.

Отправлено: 18:48, 27-05-2010 | #20

< Предыдущая 1 2 3 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Проверьте пожалуйста логи.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Проверьте логи, пожалуйста. Amsus Лечение систем от вредоносных программ 2 20-12-2009 00:19
[решено] Проверьте пожалуйста "мою прелесть" от вирусов sztksales Лечение систем от вредоносных программ 10 05-12-2009 03:27
Проверьте логи, пожалуйста Soalnik Лечение систем от вредоносных программ 3 04-09-2009 19:06
[решено] Проверьте логи пожалуйста! khs Лечение систем от вредоносных программ 4 20-08-2009 05:29
Проверьте пожалуйста логи patamba Лечение систем от вредоносных программ 3 26-05-2009 19:37


« Предыдущая тема | Следующая тема »


 
Переход