[решено] brastk.exe помогите избавится

foxbat · Отправлено: **13:31, 22-11-2008** | #11

приложил.
P.S. касперский периодически сообщает непонятное для меня:
22.11.2008 10:13:47 Программа C:\WINDOWS\system32\svchost.exe не может установить соединение с сервером 207.46.193.254. Проверьте параметры соединения с интернетом. Возможно, в установленном сетевом экране отсутствует разрешающее правило для приложения avp.exe.

Pili · Отправлено: **13:44, 22-11-2008** | #12

Выполните скрипт

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\systemroot\system32\drivers\TDSSmhxt.sys','');
 DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');
 DeleteService('TDSserv');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('\systemroot\system32\drivers\TDSSmhxt.sys');
 BC_DeleteSvc('TDSserv');
BC_Activate;
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Должен заработать интернет и антивирусные сайты, попробуйте провериться с помощью MBAM и Combofix и выложить их логи (см. выше)

карантин пришел, жаль TDSSmhxt.sys не попал, сделайте остальные логи пожалуйста и новый virusinfo_syscheck.zip

foxbat · Отправлено: **15:30, 22-11-2008** | #13

Цитата Pili:

Компьютер перезагрузится. »

не перезагрузился

проверился MBAM

Malwarebytes' Anti-Malware 1.30
Версия базы данных: 1306
Windows 5.1.2600 Service Pack 2

22.11.2008 15:24:46
mbam-log-2008-11-22 (15-24-46).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)
Проверено объектов: 295312
Прошло времени: 1 hour(s), 19 minute(s), 17 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 18

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-20\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Рабочий стол\avz4\avz4\Quarantine\2008-11-21\avz00001.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10806.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6017.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS6b81.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS66ff.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Vovan\Local Settings\Temp\TDSS67ca.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS72f4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS78df.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS7fd4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS893b.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfpmp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoexh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSStkdv.log (Trojan.TDSS) -> Quarantined and deleted successfully.

foxbat · Отправлено: **16:06, 22-11-2008** | #14

Код:

ComboFix 08-11-21.05 - Vovan 2008-11-22 15:42:49.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1251.1.1049.18.585 [GMT 3:00]
Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Vovan\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
 * Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\Vovan\LOCALS~1\Temp\tmp2.tmp

 c:\windows\system32\winlogon.exe . . . is infected!!

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Legacy_VFILT
-------\Service_TDSSserv.sys


(((((((((((((((((((((((((   Files Created from 2008-10-22 to 2008-11-22  )))))))))))))))))))))))))))))))
.

2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\documents and settings\Vovan\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 13:59 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-22 13:11 . 2008-11-22 13:11	11,264	--a------	c:\windows\system32\drivers\uzmwntc2.sys
2008-11-20 10:41 . 2007-02-24 16:00	<DIR>	d--h-----	c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 16:00	<DIR>	d--h-----	c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	dr-------	c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	dr-------	c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2008-11-20 10:41	<DIR>	d--------	c:\documents and settings\Администратор
2008-11-20 09:30 . 2008-11-21 12:01	527	--a------	c:\windows\system32\TDSSosvd.dat

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-22 12:48	13,423,904	--sha-w	c:\windows\system32\drivers\fidbox.dat
2008-11-22 12:47	194,360	--sha-w	c:\windows\system32\drivers\fidbox.idx
2008-11-22 12:47	17,084	--sha-w	c:\windows\system32\drivers\fidbox2.idx
2008-11-22 12:47	104,736	--sha-w	c:\windows\system32\drivers\fidbox2.dat
2008-11-22 10:52	---------	d-----w	c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-20 17:40	---------	d-----w	c:\program files\BeholdTV
2008-11-10 06:42	---------	d-----w	c:\program files\QIP
2007-11-25 13:38	61	--sh--w	c:\windows\cnerolf.dat
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]
"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]
path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk
backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]
R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-MSMSGS - c:\program files\Messenger\msmsgs.exe
MSConfigStartUp-Device Detector - DevDetect.exe



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-22 15:47:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
c:\windows\system32\rundll32.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
c:\program files\Virtual CD v5\System\VC5Tray.exe
c:\windows\system32\nvsvc32.exe
c:\program files\HHVcdV5Sys\VC5SecS.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
c:\program files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-11-22 15:50:09 - machine was rebooted
ComboFix-quarantined-files.txt  2008-11-22 12:50:00

Pre-Run: 454*164*480 байт свободно
Post-Run: 491,855,872 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect

141

Pili · Отправлено: **16:47, 22-11-2008** | #15

Цитата foxbat:

не перезагрузился »

команду перезагрузки забыл в скрипт вставить, но это не страшно

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
c:\windows\system32\TDSSosvd.dat
c:\windows\cnerolf.dat

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
У вас проблема гораздо серьезнее есть

Цитата foxbat:

c:\windows\system32\winlogon.exe . . . is infected!! »

c:\windows\system32\winlogon.exe - проверьте на virustotal.com, если заражен, выложите рез-т проверки или дайте ссылку, можете заменить файл, взять его с чистой системы или восстановить с установочного диска windows
Пуск-выполнить - cmd.exe
sfc /scannow, вставьте установочный диск и выполните восстановление системных файлов, после этого потребуется установить все обновления (SP3 и все обновления после него - http://windowsupdate.microsoft.com)

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и карантин от МВАМ (лежит в %userprofile%\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine) с паролем virus и пришлите мне на user15802[at]mail.ru

foxbat · Отправлено: **17:21, 22-11-2008** | #16

Код:

ComboFix 08-11-21.05 - Vovan 2008-11-22 17:03:41.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1251.1.1049.18.680 [GMT 3:00]
Running from: c:\documents and settings\Vovan\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Vovan\Рабочий стол\CFScript.txt.txt
 * Created a new restore point

FILE ::
c:\windows\cnerolf.dat
c:\windows\system32\TDSSosvd.dat
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\cnerolf.dat
c:\windows\system32\TDSSosvd.dat

 c:\windows\system32\winlogon.exe . . . is infected!!

.
(((((((((((((((((((((((((   Files Created from 2008-10-22 to 2008-11-22  )))))))))))))))))))))))))))))))
.

2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\program files\Malwarebytes' Anti-Malware
2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\documents and settings\Vovan\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-11-22 13:59	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-22 13:59 . 2008-10-22 16:10	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-22 13:59 . 2008-10-22 16:10	15,504	--a------	c:\windows\system32\drivers\mbam.sys
2008-11-22 13:11 . 2008-11-22 13:11	11,264	--a------	c:\windows\system32\drivers\uzmwntc2.sys
2008-11-20 10:41 . 2007-02-24 16:00	<DIR>	d--h-----	c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 16:00	<DIR>	d--h-----	c:\documents and settings\Администратор\Шаблоны
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Рабочий стол
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Мои документы
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	dr-------	c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	dr-------	c:\documents and settings\Администратор\Главное меню
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2007-02-24 18:54	<DIR>	d--------	c:\documents and settings\Администратор\Избранное
2008-11-20 10:41 . 2008-11-20 10:41	<DIR>	d--------	c:\documents and settings\Администратор

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-22 14:07	13,531,424	--sha-w	c:\windows\system32\drivers\fidbox.dat
2008-11-22 14:07	109,088	--sha-w	c:\windows\system32\drivers\fidbox2.dat
2008-11-22 13:20	---------	d-----w	c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-11-22 13:14	194,984	--sha-w	c:\windows\system32\drivers\fidbox.idx
2008-11-22 13:14	17,228	--sha-w	c:\windows\system32\drivers\fidbox2.idx
2008-11-20 17:40	---------	d-----w	c:\program files\BeholdTV
2008-11-10 06:42	---------	d-----w	c:\program files\QIP
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-29 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-12-21 270336]
"VC5Player"="c:\program files\HHVcdV5Sys\VC5Play.exe" [2003-03-11 176128]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-03-14 257088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-05 81920]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\Vovan\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Vovan^Главное меню^Программы^Автозагрузка^Инструмент проверки носителя Picture Motion Browser.lnk]
path=c:\documents and settings\Vovan\Главное меню\Программы\Автозагрузка\Инструмент проверки носителя Picture Motion Browser.lnk
backup=c:\windows\pss\Инструмент проверки носителя Picture Motion Browser.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 09:54 282624 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-02-24 17:54 185896 c:\program files\Common Files\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

R1 uzmwntc2;AVZ-RK Kernel Driver;\??\c:\windows\system32\Drivers\uzmwntc2.sys [2008-11-22 11264]
R1 vbev5mp;vbev5mp;c:\windows\system32\DRIVERS\vbev5mp.sys [2003-05-07 57008]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2007-12-13 24592]
R3 SAA713x;Behold TV WDM Capture (SAA713x);c:\windows\system32\DRIVERS\saa713x.sys [2007-12-16 186512]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-22 17:07:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-11-22 17:08:35
ComboFix-quarantined-files.txt  2008-11-22 14:08:32
ComboFix2.txt  2008-11-22 12:50:15

Pre-Run: 462*401*536 байт свободно
Post-Run: 456,519,680 байт свободно

114

Цитата Pili:

c:\windows\system32\winlogon.exe - проверьте на virustotal.com, если заражен, выложите рез-т проверки или дайте ссылку, можете заменить файл, взять его с чистой системы или восстановить с установочного диска windows »

нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis

Pili · Отправлено: **17:31, 22-11-2008** | #17

Цитата foxbat:

нашло что то.. McAfee+Artemis 5441 2008.11.21 Generic!Artemis »

А не должен был (рез-т д.б. 0/37), отправьте файл на newvirus@kaspersky.com и замените файл с чистой системы или выполните восстановление системных файлов (как вариант - установить SP3, обновление должно заменить winlogon.exe)
В остальном по логам чисто.

foxbat · Отправлено: **18:17, 22-11-2008** | #18

отпправил вам карантины, забыл ссылку на тему указать... скажите а может ли проблема с обновлениями касперского быть связана с этим файлом ? до этого пинг шёл на меня, а сейчас вообще не идёт...

Pili · Отправлено: **19:49, 22-11-2008** | #19

Цитата foxbat:

а может ли проблема с обновлениями касперского быть связана с этим файлом ? »

Проблема была связана с руткитом TDSserv и его модулями, после удаления проблема должна была исчезнуть, но то, что у вас winlogon.exe не оригинальный и патченнный (возможно зловред) тоже может влиять
В браузере (напр. firefox) на сайты www.kaspersky.com, www.drweb.com, www.microsoft.com заходит? С помощью CureIt проверялись?
За карантин спасибо, зловреды свежие, ушли в вир. лаборатории.
Попробуйте поставить SP3, KIS при этом желательно временно деинсталлировать KIS и после установки обновлений заново установить, проверьте после этого winlogon.exe на VT ещё раз

foxbat · Отправлено: **20:08, 22-11-2008** | #20

у меня сейчас нет возможности скачать sp3 (ограничен трафиком) - в ближайшее время озадачу друзей - скачают, а я поставлю. с помощью cureit не проверялся , на сайты заходит - норм. как решу проблему с winlogon сообщу вам, т.к. каспер так и не хочет обновлятся !

Цитата Pili:

За карантин спасибо, зловреды свежие, ушли в вир. лаборатории. »

вам большое спасибо за помощь !