User%1 0 Опубликовано 4 августа, 2009 Share Опубликовано 4 августа, 2009 Сразу после старта системы поднимается svchost и система становится на 98% занята. Нагрузка снижается на некоторое время и появляется вновь. Сообщение от модератора MedvedevUnited Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip) hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 августа, 2009 Share Опубликовано 4 августа, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\vzumnvap.exe',''); DeleteFile('C:\WINDOWS\vzumnvap.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма virusinfo_cure.zip - нам не нужен в теме, это карантин. C:\WINDOWS\system32\AHQCpURest.exe - Backdoor.Win32.IRCBot.kon C:\WINDOWS\system32\actskin4c.exe - Backdoor.Win32.IRCBot.kok C:\WINDOWS\system32\a15h.exe - Backdoor.Win32.IRCBot.koo Повторите логи. И нам нужен virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 4 августа, 2009 Автор Share Опубликовано 4 августа, 2009 Повтор логов virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 4 августа, 2009 Share Опубликовано 4 августа, 2009 (изменено) Что с проблемами? Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Инструкция Изменено 4 августа, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 5 августа, 2009 Автор Share Опубликовано 5 августа, 2009 (изменено) Проверил Malwarebytes', перезагрузился, svchost опять 97%. Malwarebytes' Anti-Malware 1.40 Версия базы данных: 2561 Windows 5.1.2600 Service Pack 3 05.08.2009 11:16:26 mbam-log-2009-08-05 (11-16-26).txt Тип проверки: Полная (C:\|) Проверено объектов: 177239 Прошло времени: 1 hour(s), 16 minute(s), 43 second(s) Заражено процессов в памяти: 0 Заражено модулей в памяти: 0 Заражено ключей реестра: 5 Заражено значений реестра: 1 Заражено параметров реестра: 3 Заражено папок: 1 Заражено файлов: 3 Заражено процессов в памяти: (Вредоносные программы не обнаружены) Заражено модулей в памяти: (Вредоносные программы не обнаружены) Заражено ключей реестра: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> Quarantined and deleted successfully. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully. Заражено параметров реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Заражено папок: C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully. Заражено файлов: C:\DISTR\XP\201\CRYPT.DLL (Hacktool) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully. C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully. Изменено 5 августа, 2009 пользователем User%1 Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 5 августа, 2009 Share Опубликовано 5 августа, 2009 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее можно прочитать в руководстве Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 6 августа, 2009 Автор Share Опубликовано 6 августа, 2009 Лог Gmer во вложении Combofix.log ComboFix 09-08-04.04 - 1 06.08.2009 10:48.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1023.653 [GMT 4:00] Running from: c:\avz4\ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090805-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED ! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\docume~1\1\LOCALS~1\Temp\tmp1.tmp c:\docume~1\1\LOCALS~1\Temp\tmp2.tmp C:\msdos622.exe c:\recycler\S-1-5-21-1275210071-602162358-725345543-1003 c:\recycler\S-1-5-21-1409082233-854245398-1060284298-1003 c:\windows\a3kebook.ini c:\windows\akebook.ini c:\windows\ANS2000.INI c:\windows\Installer\7094d.msp c:\windows\system32\Data c:\windows\system32\msssc.dll . ((((((((((((((((((((((((( Files Created from 2009-07-06 to 2009-08-06 ))))))))))))))))))))))))))))))) . 2009-08-06 06:47 . 2009-08-06 06:47 -------- d-----w- C:\32788R22FWJFW 2009-08-05 12:51 . 2009-08-05 12:51 41827 ----a-w- C:\FireWallTest.exe 2009-08-05 07:30 . 2009-08-05 07:30 124 ----a-w- c:\documents and settings\1\Local Settings\Application Data\fusioncache.dat 2009-08-05 07:30 . 2009-08-05 07:35 -------- d-----w- c:\documents and settings\1\Local Settings\Application Data\ApplicationHistory 2009-08-05 05:58 . 2009-08-05 05:58 -------- d-----w- c:\documents and settings\1\Application Data\Malwarebytes 2009-08-05 05:57 . 2009-08-03 09:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-05 05:57 . 2009-08-05 05:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-08-05 05:57 . 2009-08-05 05:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-08-05 05:57 . 2009-08-03 09:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-04 16:39 . 2009-08-04 16:39 -------- d-----w- c:\program files\Trend Micro 2009-08-04 09:58 . 2009-08-04 09:58 -------- d-----w- c:\windows\system32\URTTEMP 2009-08-04 08:49 . 2009-08-04 08:49 -------- d-----w- c:\program files\Common Files\Skype 2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\windows\system32\XPSViewer 2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\program files\MSBuild 2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\program files\Reference Assemblies 2009-08-03 22:44 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll 2009-08-03 22:44 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll 2009-08-03 22:44 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll 2009-08-03 22:44 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll 2009-08-03 22:44 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll 2009-08-03 22:44 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll 2009-08-03 22:44 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe 2009-08-03 13:12 . 2003-12-09 19:13 76054 ----a-w- c:\windows\system32\EBPMON24.DLL 2009-08-03 13:12 . 2003-07-16 07:14 31744 ----a-w- c:\windows\system32\E_DCINST.DLL 2009-08-03 13:12 . 2003-05-28 19:01 91648 ----a-w- c:\windows\system32\E_SAGSET.DLL 2009-08-03 13:12 . 2003-05-20 20:27 64000 ----a-w- c:\windows\system32\ECBTEG.DLL 2009-08-03 13:12 . 2001-09-03 20:04 182 ----a-w- c:\windows\system32\EBPPORT4.DAT 2009-08-03 13:12 . 2000-06-06 19:01 34304 ----a-w- c:\windows\system32\EBPCHP.DLL 2009-08-03 13:12 . 2008-04-13 17:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys 2009-08-03 13:12 . 2008-04-13 17:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys 2009-08-03 13:12 . 2009-08-03 13:12 -------- d-----w- c:\program files\EPSON . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-06 06:42 . 2008-09-05 20:59 -------- d-----w- c:\program files\The Bat! 2009-08-06 06:42 . 2008-09-05 23:15 -------- d-----w- c:\documents and settings\1\Application Data\uTorrent 2009-08-06 06:42 . 2008-09-05 21:26 -------- d-----w- c:\documents and settings\1\Application Data\Skype 2009-08-06 06:22 . 2008-09-05 21:00 -------- d-----w- c:\documents and settings\1\Application Data\The Bat! 2009-08-05 08:06 . 2008-09-06 08:52 -------- d-----w- c:\program files\Common Files\LogiShrd 2009-08-05 08:06 . 2008-10-11 08:22 51800 ----a-w- c:\documents and settings\1\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 2009-08-05 07:30 . 2004-08-18 12:00 95038 ----a-w- c:\windows\system32\perfc019.dat 2009-08-05 07:30 . 2004-08-18 12:00 509006 ----a-w- c:\windows\system32\perfh019.dat 2009-08-04 08:50 . 2008-09-05 21:26 -------- d-----r- c:\program files\Skype 2009-08-04 08:49 . 2008-09-05 21:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype 2009-08-04 07:06 . 2009-04-21 17:31 -------- d-----w- c:\program files\Microsoft Silverlight 2009-08-03 22:56 . 2004-10-01 11:47 145408 ----a-w- c:\windows\system32\drivers\VMM.sys 2009-08-03 15:17 . 2008-12-15 19:38 -------- d-----w- c:\program files\ReGetDx 2009-07-03 17:00 . 2004-08-18 12:00 915456 ----a-w- c:\windows\system32\wininet.dll 2009-07-02 10:35 . 2008-11-08 19:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-07-02 08:07 . 2009-05-19 17:13 49152 ---ha-w- c:\documents and settings\1\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll 2009-07-02 06:13 . 2009-07-01 11:03 -------- d-----w- c:\program files\Common Files\BinarySense 2009-07-01 13:37 . 2009-01-28 20:37 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2009-07-01 11:04 . 2009-07-01 11:04 -------- d-----w- c:\documents and settings\1\Application Data\BinarySense 2009-06-30 17:58 . 2009-06-30 17:58 -------- d-----w- c:\program files\CONEXANT 2009-06-30 17:47 . 2009-06-30 17:47 -------- d-----w- c:\program files\Analog Devices 2009-06-30 17:47 . 2008-09-05 20:28 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-06-30 17:29 . 2009-06-30 17:29 30 ----a-w- c:\windows\system32\drivers\service.ini 2009-06-30 17:03 . 2009-06-30 16:51 -------- d-----w- c:\program files\Realtek AC97 2009-06-30 14:18 . 2009-02-01 13:45 8 ----a-w- c:\windows\system32\nvModes.dat 2009-06-30 12:54 . 2008-09-05 20:37 -------- d-----w- c:\program files\Far 2009-06-21 07:01 . 2009-06-21 07:01 -------- d-----w- c:\program files\FLV Player 2009-06-21 07:01 . 2009-06-21 07:00 4998707 ----a-w- C:\flvplayer_setup.exe 2009-06-19 17:19 . 2009-06-19 17:19 3534 ----a-w- C:\routes.cmd 2009-06-18 08:58 . 2009-06-18 08:50 1078 ----a-r- c:\documents and settings\1\Application Data\Microsoft\Installer\{23AAA8A8-6114-484B-9C85-8191C9DF7B32}\NewShortcut1.BBD4A38C_B875_4E46_B27C_5CAECB0257C4.exe 2009-06-18 08:58 . 2009-06-18 08:50 1078 ----a-r- c:\documents and settings\1\Application Data\Microsoft\Installer\{23AAA8A8-6114-484B-9C85-8191C9DF7B32}\ARPPRODUCTICON.exe 2009-06-17 20:04 . 2009-06-17 20:04 6757564 ----a-w- C:\UpdateClientWin32-1.0.8.msi 2009-06-16 14:40 . 2004-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll 2009-06-16 14:40 . 2004-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2009-06-14 15:56 . 2009-06-14 15:56 670412 ----a-w- C:\F6 SATA driver for XP installation.zip 2009-06-12 06:12 . 2009-06-11 15:20 -------- d-----w- c:\program files\Microsoft Virtual PC 2009-06-10 07:10 . 2008-09-05 22:55 -------- d-----w- c:\program files\Windows Desktop Search 2009-06-06 11:14 . 2009-06-06 11:14 971552 ----a-w- c:\windows\system32\drivers\tdrpm174.sys 2009-06-06 11:14 . 2009-06-06 11:14 540000 ----a-w- c:\windows\system32\drivers\timntr.sys 2009-06-06 11:14 . 2009-06-06 11:14 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys 2009-06-04 18:40 . 2009-06-04 18:40 831284 ----a-w- C:\sony_cmd_j7-j70.zip 2009-06-03 19:11 . 2004-08-18 12:00 1292800 ----a-w- c:\windows\system32\quartz.dll 2009-05-26 16:51 . 2009-05-26 16:51 1613856 ----a-w- C:\CuteWriter.exe 2009-05-26 16:51 . 2009-05-26 16:51 5254656 ----a-w- C:\converter.exe 2009-05-26 16:40 . 2009-05-26 16:39 6910136 ----a-w- C:\DJVUCNTL_61_EN.EXE 2009-05-24 20:24 . 2008-05-26 18:18 350208 ----a-w- c:\windows\system32\mssph.dll 2009-05-12 11:12 . 2008-09-05 21:15 26144 ----a-w- c:\windows\system32\spupdsvc.exe 2009-04-05 06:25 . 2009-04-05 06:26 43520 --sh--r- c:\windows\system32\acctresx.exe 2009-03-01 18:46 . 2009-03-01 18:46 56 --sh--r- c:\windows\system32\CE3E4B0F2F.sys 2009-03-01 18:46 . 2009-03-01 18:34 3766 --sha-w- c:\windows\system32\KGyGaAvL.sys . ------- Sigcheck ------- [7] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys [7] 2004-08-18 12:00 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtServicePackUninstall$\tcpip.sys [7] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 c:\windows\$NtUninstallKB951748$\tcpip.sys [-] 2008-04-13 19:20 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 c:\windows\ServicePackFiles\i386\tcpip.sys [-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\dllcache\tcpip.sys [-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\drivers\tcpip.sys [7] 2004-08-18 12:00 503808 BA9DF5930B2582C31C0C8E52C94DDA48 c:\windows\$NtServicePackUninstall$\winlogon.exe [7] 2008-04-14 16:11 509440 B3B5D5855127E240C88451030AAEE76E c:\windows\ServicePackFiles\i386\winlogon.exe [-] 2009-01-17 14:45 509440 FAD4579B18A9E134B5BAC0A88874E2FD c:\windows\system32\winlogon.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696] "NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776] "ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920] "SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528] "EPSON Stylus C45 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE" [2004-01-13 99840] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-04 1626112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "WUAppSetup"="c:\program files\Common Files\logishrd\WUApp32.exe" [2009-04-30 460048] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Win32Update HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\Far\\Far.exe"= "c:\\Program Files\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\eMule\\emule.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\sdc205\\StrongDC.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06.03.2009 13:11 114768] R2 2GIS UpdateClientService;2GIS UpdateClientService;c:\program files\2gis\UpdateClientWin32\UpdateClientService.exe [17.09.2008 12:03 1134592] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06.03.2009 13:11 20560] S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\A5AGU.sys [01.11.2008 21:45 377920] S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [20.04.2009 17:40 16512] S3 ATHFMWDL;D-Link predator Bootloader driver;c:\windows\system32\drivers\Athfmwdl.sys [26.07.2005 15:35 43392] S3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;c:\windows\system32\drivers\DLKRTS.SYS [05.10.2008 12:24 25434] S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\drivers\s716bus.sys [10.10.2008 23:43 83208] S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\drivers\s716mdfl.sys [10.10.2008 23:43 15112] S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\drivers\s716mdm.sys [10.10.2008 23:43 108552] S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s716mgmt.sys [10.10.2008 23:43 100360] S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\drivers\s716nd5.sys [10.10.2008 23:43 23176] S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\drivers\s716obex.sys [10.10.2008 23:43 98568] S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\drivers\s716unic.sys [10.10.2008 23:43 98952] S4 gupdate1c98850c15f9b70;Google Update Service (gupdate1c98850c15f9b70);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Contents of the 'Scheduled Tasks' folder . . ------- Supplementary Scan ------- . uStart Page = about:blank uInternet Connection Wizard,ShellNext = iexplore IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Закачать &все при помощи ReGet Deluxe - c:\program files\Common Files\ReGet Shared\CC_All.htm IE: Закачать при помощи Re&Get Deluxe - c:\program files\Common Files\ReGet Shared\CC_Link.htm TCP: {69965825-51D9-4726-85FA-E4D4E736A415} = 192.168.1.1 DPF: {37114325-A615-4255-95D4-AA2B9D49A4DD} - hxxps://test2.sipnet.ru/cabinet/files/sippoint1.cab FF - ProfilePath - c:\documents and settings\1\Application Data\Mozilla\Firefox\Profiles\14r1z9s4.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - prefs.js: network.proxy.ftp - 203.178.133.002 FF - prefs.js: network.proxy.ftp_port - 3128 FF - prefs.js: network.proxy.gopher - 203.178.133.002 FF - prefs.js: network.proxy.gopher_port - 3128 FF - prefs.js: network.proxy.http - 203.178.133.002 FF - prefs.js: network.proxy.http_port - 3128 FF - prefs.js: network.proxy.socks - 203.178.133.002 FF - prefs.js: network.proxy.socks_port - 3128 FF - prefs.js: network.proxy.ssl - 203.178.133.002 FF - prefs.js: network.proxy.ssl_port - 3128 FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX POLICIES ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-06 10:55 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- LOCKED REGISTRY KEYS --------------------- [HKEY_USERS\S-1-5-21-682003330-725345543-2047887381-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BDF9A22C-C47A-B9FA-C0BA-403E58D90DDB}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Completion time: 2009-08-06 10:58 ComboFix-quarantined-files.txt 2009-08-06 06:58 Pre-Run: 181 997 215 744 байт свободно Post-Run: 182 546 456 576 байт свободно Current=1 Default=1 Failed=0 LastKnownGood=2 Sets=1,2,3,4 276 --- E O F --- 2009-08-05 07:30 gmer.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 6 августа, 2009 Share Опубликовано 6 августа, 2009 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: Driver:: Folder:: Registry:: FileLook:: c:\program files\Common Files\logishrd\WUApp32.exe c:\windows\system32\acctresx.exe c:\windows\system32\CE3E4B0F2F.sys DirLook:: C:\32788R22FWJFW После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Проверьте на www.virustotal.com C:\routes.cmd Цитата Ссылка на сообщение Поделиться на другие сайты
User%1 0 Опубликовано 6 августа, 2009 Автор Share Опубликовано 6 августа, 2009 Routes.cmd чистый. Комболог прицеплен. COMBO.ZIP Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.