Svchost грузит систему

4 августа, 2009

Сразу после старта системы поднимается svchost и система становится на 98% занята. Нагрузка снижается на некоторое время и появляется вновь.

Сообщение от модератора MedvedevUnited

Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip)

hijackthis.log

virusinfo_syscheck.zip

4 августа, 2009

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\vzumnvap.exe','');
DeleteFile('C:\WINDOWS\vzumnvap.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

virusinfo_cure.zip - нам не нужен в теме, это карантин.

C:\WINDOWS\system32\AHQCpURest.exe - Backdoor.Win32.IRCBot.kon

C:\WINDOWS\system32\actskin4c.exe - Backdoor.Win32.IRCBot.kok

C:\WINDOWS\system32\a15h.exe - Backdoor.Win32.IRCBot.koo

Повторите логи. И нам нужен virusinfo_syscure.zip

4 августа, 2009

Повтор логов

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

4 августа, 2009

Что с проблемами?

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Инструкция

Изменено 4 августа, 2009 пользователем akoK

5 августа, 2009

Проверил Malwarebytes', перезагрузился, svchost опять 97%.

Malwarebytes' Anti-Malware 1.40

Версия базы данных: 2561

Windows 5.1.2600 Service Pack 3

05.08.2009 11:16:26

mbam-log-2009-08-05 (11-16-26).txt

Тип проверки: Полная (C:\|)

Проверено объектов: 177239

Прошло времени: 1 hour(s), 16 minute(s), 43 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 5

Заражено значений реестра: 1

Заражено параметров реестра: 3

Заражено папок: 1

Заражено файлов: 3

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Adware (Malware.Trace) -> Quarantined and deleted successfully.

Заражено значений реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:

C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.

Заражено файлов:

C:\DISTR\XP\201\CRYPT.DLL (Hacktool) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.

Изменено 5 августа, 2009 пользователем User%1

5 августа, 2009

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее можно прочитать в руководстве

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

6 августа, 2009

Лог Gmer во вложении

Combofix.log

ComboFix 09-08-04.04 - 1 06.08.2009 10:48.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1023.653 [GMT 4:00]

Running from: c:\avz4\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090805-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\1\LOCALS~1\Temp\tmp1.tmp

c:\docume~1\1\LOCALS~1\Temp\tmp2.tmp

C:\msdos622.exe

c:\recycler\S-1-5-21-1275210071-602162358-725345543-1003

c:\recycler\S-1-5-21-1409082233-854245398-1060284298-1003

c:\windows\a3kebook.ini

c:\windows\akebook.ini

c:\windows\ANS2000.INI

c:\windows\Installer\7094d.msp

c:\windows\system32\Data

c:\windows\system32\msssc.dll

.

((((((((((((((((((((((((( Files Created from 2009-07-06 to 2009-08-06 )))))))))))))))))))))))))))))))

.

2009-08-06 06:47 . 2009-08-06 06:47 -------- d-----w- C:\32788R22FWJFW

2009-08-05 12:51 . 2009-08-05 12:51 41827 ----a-w- C:\FireWallTest.exe

2009-08-05 07:30 . 2009-08-05 07:30 124 ----a-w- c:\documents and settings\1\Local Settings\Application Data\fusioncache.dat

2009-08-05 07:30 . 2009-08-05 07:35 -------- d-----w- c:\documents and settings\1\Local Settings\Application Data\ApplicationHistory

2009-08-05 05:58 . 2009-08-05 05:58 -------- d-----w- c:\documents and settings\1\Application Data\Malwarebytes

2009-08-05 05:57 . 2009-08-03 09:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-05 05:57 . 2009-08-05 05:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-08-05 05:57 . 2009-08-05 05:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-05 05:57 . 2009-08-03 09:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-08-04 16:39 . 2009-08-04 16:39 -------- d-----w- c:\program files\Trend Micro

2009-08-04 09:58 . 2009-08-04 09:58 -------- d-----w- c:\windows\system32\URTTEMP

2009-08-04 08:49 . 2009-08-04 08:49 -------- d-----w- c:\program files\Common Files\Skype

2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\windows\system32\XPSViewer

2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\program files\MSBuild

2009-08-03 22:45 . 2009-08-03 22:45 -------- d-----w- c:\program files\Reference Assemblies

2009-08-03 22:44 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll

2009-08-03 22:44 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-08-03 22:44 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll

2009-08-03 22:44 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll

2009-08-03 22:44 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll

2009-08-03 22:44 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll

2009-08-03 22:44 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-08-03 13:12 . 2003-12-09 19:13 76054 ----a-w- c:\windows\system32\EBPMON24.DLL

2009-08-03 13:12 . 2003-07-16 07:14 31744 ----a-w- c:\windows\system32\E_DCINST.DLL

2009-08-03 13:12 . 2003-05-28 19:01 91648 ----a-w- c:\windows\system32\E_SAGSET.DLL

2009-08-03 13:12 . 2003-05-20 20:27 64000 ----a-w- c:\windows\system32\ECBTEG.DLL

2009-08-03 13:12 . 2001-09-03 20:04 182 ----a-w- c:\windows\system32\EBPPORT4.DAT

2009-08-03 13:12 . 2000-06-06 19:01 34304 ----a-w- c:\windows\system32\EBPCHP.DLL

2009-08-03 13:12 . 2008-04-13 17:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys

2009-08-03 13:12 . 2008-04-13 17:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys

2009-08-03 13:12 . 2009-08-03 13:12 -------- d-----w- c:\program files\EPSON

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-06 06:42 . 2008-09-05 20:59 -------- d-----w- c:\program files\The Bat!

2009-08-06 06:42 . 2008-09-05 23:15 -------- d-----w- c:\documents and settings\1\Application Data\uTorrent

2009-08-06 06:42 . 2008-09-05 21:26 -------- d-----w- c:\documents and settings\1\Application Data\Skype

2009-08-06 06:22 . 2008-09-05 21:00 -------- d-----w- c:\documents and settings\1\Application Data\The Bat!

2009-08-05 08:06 . 2008-09-06 08:52 -------- d-----w- c:\program files\Common Files\LogiShrd

2009-08-05 08:06 . 2008-10-11 08:22 51800 ----a-w- c:\documents and settings\1\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-05 07:30 . 2004-08-18 12:00 95038 ----a-w- c:\windows\system32\perfc019.dat

2009-08-05 07:30 . 2004-08-18 12:00 509006 ----a-w- c:\windows\system32\perfh019.dat

2009-08-04 08:50 . 2008-09-05 21:26 -------- d-----r- c:\program files\Skype

2009-08-04 08:49 . 2008-09-05 21:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-08-04 07:06 . 2009-04-21 17:31 -------- d-----w- c:\program files\Microsoft Silverlight

2009-08-03 22:56 . 2004-10-01 11:47 145408 ----a-w- c:\windows\system32\drivers\VMM.sys

2009-08-03 15:17 . 2008-12-15 19:38 -------- d-----w- c:\program files\ReGetDx

2009-07-03 17:00 . 2004-08-18 12:00 915456 ----a-w- c:\windows\system32\wininet.dll

2009-07-02 10:35 . 2008-11-08 19:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-07-02 08:07 . 2009-05-19 17:13 49152 ---ha-w- c:\documents and settings\1\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll

2009-07-02 06:13 . 2009-07-01 11:03 -------- d-----w- c:\program files\Common Files\BinarySense

2009-07-01 13:37 . 2009-01-28 20:37 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-07-01 11:04 . 2009-07-01 11:04 -------- d-----w- c:\documents and settings\1\Application Data\BinarySense

2009-06-30 17:58 . 2009-06-30 17:58 -------- d-----w- c:\program files\CONEXANT

2009-06-30 17:47 . 2009-06-30 17:47 -------- d-----w- c:\program files\Analog Devices

2009-06-30 17:47 . 2008-09-05 20:28 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-06-30 17:29 . 2009-06-30 17:29 30 ----a-w- c:\windows\system32\drivers\service.ini

2009-06-30 17:03 . 2009-06-30 16:51 -------- d-----w- c:\program files\Realtek AC97

2009-06-30 14:18 . 2009-02-01 13:45 8 ----a-w- c:\windows\system32\nvModes.dat

2009-06-30 12:54 . 2008-09-05 20:37 -------- d-----w- c:\program files\Far

2009-06-21 07:01 . 2009-06-21 07:01 -------- d-----w- c:\program files\FLV Player

2009-06-21 07:01 . 2009-06-21 07:00 4998707 ----a-w- C:\flvplayer_setup.exe

2009-06-19 17:19 . 2009-06-19 17:19 3534 ----a-w- C:\routes.cmd

2009-06-18 08:58 . 2009-06-18 08:50 1078 ----a-r- c:\documents and settings\1\Application Data\Microsoft\Installer\{23AAA8A8-6114-484B-9C85-8191C9DF7B32}\NewShortcut1.BBD4A38C_B875_4E46_B27C_5CAECB0257C4.exe

2009-06-18 08:58 . 2009-06-18 08:50 1078 ----a-r- c:\documents and settings\1\Application Data\Microsoft\Installer\{23AAA8A8-6114-484B-9C85-8191C9DF7B32}\ARPPRODUCTICON.exe

2009-06-17 20:04 . 2009-06-17 20:04 6757564 ----a-w- C:\UpdateClientWin32-1.0.8.msi

2009-06-16 14:40 . 2004-08-18 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-06-16 14:40 . 2004-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-06-14 15:56 . 2009-06-14 15:56 670412 ----a-w- C:\F6 SATA driver for XP installation.zip

2009-06-12 06:12 . 2009-06-11 15:20 -------- d-----w- c:\program files\Microsoft Virtual PC

2009-06-10 07:10 . 2008-09-05 22:55 -------- d-----w- c:\program files\Windows Desktop Search

2009-06-06 11:14 . 2009-06-06 11:14 971552 ----a-w- c:\windows\system32\drivers\tdrpm174.sys

2009-06-06 11:14 . 2009-06-06 11:14 540000 ----a-w- c:\windows\system32\drivers\timntr.sys

2009-06-06 11:14 . 2009-06-06 11:14 44704 ----a-w- c:\windows\system32\drivers\tifsfilt.sys

2009-06-04 18:40 . 2009-06-04 18:40 831284 ----a-w- C:\sony_cmd_j7-j70.zip

2009-06-03 19:11 . 2004-08-18 12:00 1292800 ----a-w- c:\windows\system32\quartz.dll

2009-05-26 16:51 . 2009-05-26 16:51 1613856 ----a-w- C:\CuteWriter.exe

2009-05-26 16:51 . 2009-05-26 16:51 5254656 ----a-w- C:\converter.exe

2009-05-26 16:40 . 2009-05-26 16:39 6910136 ----a-w- C:\DJVUCNTL_61_EN.EXE

2009-05-24 20:24 . 2008-05-26 18:18 350208 ----a-w- c:\windows\system32\mssph.dll

2009-05-12 11:12 . 2008-09-05 21:15 26144 ----a-w- c:\windows\system32\spupdsvc.exe

2009-04-05 06:25 . 2009-04-05 06:26 43520 --sh--r- c:\windows\system32\acctresx.exe

2009-03-01 18:46 . 2009-03-01 18:46 56 --sh--r- c:\windows\system32\CE3E4B0F2F.sys

2009-03-01 18:46 . 2009-03-01 18:34 3766 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

------- Sigcheck -------

[7] 2008-06-20 11:59 361600 AD978A1B783B5719720CFF204B666C8E c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys

[7] 2004-08-18 12:00 359040 9F4B36614A0FC234525BA224957DE55C c:\windows\$NtServicePackUninstall$\tcpip.sys

[7] 2008-04-13 19:20 361344 93EA8D04EC73A85DB02EB8805988F733 c:\windows\$NtUninstallKB951748$\tcpip.sys

[-] 2008-04-13 19:20 361344 ACCF5A9A1FFAA490F33DBA1C632B95E1 c:\windows\ServicePackFiles\i386\tcpip.sys

[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\dllcache\tcpip.sys

[-] 2008-06-20 11:51 361600 9425B72F40257B45D45D24773273DAD0 c:\windows\system32\drivers\tcpip.sys

[7] 2004-08-18 12:00 503808 BA9DF5930B2582C31C0C8E52C94DDA48 c:\windows\$NtServicePackUninstall$\winlogon.exe

[7] 2008-04-14 16:11 509440 B3B5D5855127E240C88451030AAEE76E c:\windows\ServicePackFiles\i386\winlogon.exe

[-] 2009-01-17 14:45 509440 FAD4579B18A9E134B5BAC0A88874E2FD c:\windows\system32\winlogon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]

"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920]

"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 790528]

"EPSON Stylus C45 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE" [2004-01-13 99840]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-04 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"WUAppSetup"="c:\program files\Common Files\logishrd\WUApp32.exe" [2009-04-30 460048]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Win32Update

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Far\\Far.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\sdc205\\StrongDC.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06.03.2009 13:11 114768]

R2 2GIS UpdateClientService;2GIS UpdateClientService;c:\program files\2gis\UpdateClientWin32\UpdateClientService.exe [17.09.2008 12:03 1134592]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06.03.2009 13:11 20560]

S3 A5AGU;D-Link USB Wireless Network Adapter Service;c:\windows\system32\drivers\A5AGU.sys [01.11.2008 21:45 377920]

S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [20.04.2009 17:40 16512]

S3 ATHFMWDL;D-Link predator Bootloader driver;c:\windows\system32\drivers\Athfmwdl.sys [26.07.2005 15:35 43392]

S3 DLKRTS;D-Link DFE-538TX 10/100 Adapter;c:\windows\system32\drivers\DLKRTS.SYS [05.10.2008 12:24 25434]

S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\drivers\s716bus.sys [10.10.2008 23:43 83208]

S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\drivers\s716mdfl.sys [10.10.2008 23:43 15112]

S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\drivers\s716mdm.sys [10.10.2008 23:43 108552]

S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s716mgmt.sys [10.10.2008 23:43 100360]

S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\drivers\s716nd5.sys [10.10.2008 23:43 23176]

S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\drivers\s716obex.sys [10.10.2008 23:43 98568]

S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\drivers\s716unic.sys [10.10.2008 23:43 98952]

S4 gupdate1c98850c15f9b70;Google Update Service (gupdate1c98850c15f9b70);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Contents of the 'Scheduled Tasks' folder

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Закачать &все при помощи ReGet Deluxe - c:\program files\Common Files\ReGet Shared\CC_All.htm

IE: Закачать при помощи Re&Get Deluxe - c:\program files\Common Files\ReGet Shared\CC_Link.htm

TCP: {69965825-51D9-4726-85FA-E4D4E736A415} = 192.168.1.1

DPF: {37114325-A615-4255-95D4-AA2B9D49A4DD} - hxxps://test2.sipnet.ru/cabinet/files/sippoint1.cab

FF - ProfilePath - c:\documents and settings\1\Application Data\Mozilla\Firefox\Profiles\14r1z9s4.default\

FF - prefs.js: browser.startup.homepage - about:blank

FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=

FF - prefs.js: network.proxy.ftp - 203.178.133.002

FF - prefs.js: network.proxy.ftp_port - 3128

FF - prefs.js: network.proxy.gopher - 203.178.133.002

FF - prefs.js: network.proxy.gopher_port - 3128

FF - prefs.js: network.proxy.http - 203.178.133.002

FF - prefs.js: network.proxy.http_port - 3128

FF - prefs.js: network.proxy.socks - 203.178.133.002

FF - prefs.js: network.proxy.socks_port - 3128

FF - prefs.js: network.proxy.ssl - 203.178.133.002

FF - prefs.js: network.proxy.ssl_port - 3128

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdjvu.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX POLICIES ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess");

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-06 10:55

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-682003330-725345543-2047887381-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BDF9A22C-C47A-B9FA-C0BA-403E58D90DDB}*]

@Allowed: (Read) (RestrictedCode)

.

Completion time: 2009-08-06 10:58

ComboFix-quarantined-files.txt 2009-08-06 06:58

Pre-Run: 181 997 215 744 байт свободно

Post-Run: 182 546 456 576 байт свободно

Current=1 Default=1 Failed=0 LastKnownGood=2 Sets=1,2,3,4

276 --- E O F --- 2009-08-05 07:30

gmer.log

6 августа, 2009

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::

Folder::

Registry::

FileLook::
c:\program files\Common Files\logishrd\WUApp32.exe
c:\windows\system32\acctresx.exe
c:\windows\system32\CE3E4B0F2F.sys
DirLook::
C:\32788R22FWJFW

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверьте на www.virustotal.com

C:\routes.cmd

6 августа, 2009

Routes.cmd чистый. Комболог прицеплен.

COMBO.ZIP

Войти

Svchost грузит систему

Рекомендуемые сообщения

User%1 0

Ссылка на сообщение

Поделиться на другие сайты

akoK 138

Ссылка на сообщение

Поделиться на другие сайты

User%1 0

Ссылка на сообщение

Поделиться на другие сайты

akoK 138

Ссылка на сообщение

Поделиться на другие сайты

User%1 0

Ссылка на сообщение

Поделиться на другие сайты

akoK 138

Ссылка на сообщение

Поделиться на другие сайты

User%1 0

Ссылка на сообщение

Поделиться на другие сайты

akoK 138

Ссылка на сообщение

Поделиться на другие сайты

User%1 0

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum