2 надоедливых вируса

[Jeopardist]

Обновления установлены.

новые логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[zirreX]

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');   
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

Сделайте лог AVZ, только "Стандартный скрипт №2".

 

Что с проблемой?

[Jeopardist]

Час назад эти вируса был обнружены.

вот новый лог

virusinfo_syscheck.zip

[zirreX]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Подробнее в "ComboFix. Руководство по применению."

[Jeopardist]

Перед тем, как установить программу, хотел вы кое-что Вам зафиксировать, возможно, это поможет.

Данные 2 вируса всегда распознаются между началом и концом обновления антивирусных баз. Таким образом, в подробном отчёте это выглядит так

1. начало обновления

2. вирус №1

3. вирус №2

4. конец обновления.

Тоесть вирусы распознаются только при обновлении антивирусных баз.

[zirreX]

Перед тем, как установить программу, хотел вы кое-что Вам зафиксировать, возможно, это поможет.

Данные 2 вируса всегда распознаются между началом и концом обновления антивирусных баз. Таким образом, в подробном отчёте это выглядит так

1. начало обновления

2. вирус №1

3. вирус №2

4. конец обновления.

Тоесть вирусы распознаются только при обновлении антивирусных баз.

 

Прикрепите пожалуйста подробный отчёт для наглядности.

 

В главном меню Kaspersky Internet Security нажмите на Отчёт -> Обнаруженные угрозы -> нажмите на кнопку Сохранить - укажите имя файла -> Сохранить.

[Jeopardist]

Прикрепите пожалуйста подробный отчёт для наглядности.

 

В главном меню Kaspersky Internet Security нажмите на Отчёт -> Обнаруженные угрозы -> нажмите на кнопку Сохранить - укажите имя файла -> Сохранить.

Во вкадке "обнаруженные угрозы" они не отоборажаются. только в диарграмме и в подробном отчёте

12.06.2011 0:16:57 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 0:17:29 Kaspersky Internet Security Обновление Задача завершена Обновление

12.06.2011 0:17:29 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 0:17:29 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

 

 

12.06.2011 9:10:54 Kaspersky Internet Security Центр защиты Восстановлено из карантина C:\Documents and Settings\Admin\Application Data\puixuz\tiwo.exe

12.06.2011 9:10:54 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 9:10:54 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

 

 

12.06.2011 11:26:08 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 11:26:37 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 11:26:37 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

12.06.2011 11:26:37 Kaspersky Internet Security Обновление Задача завершена Обновление

 

 

12.06.2011 13:30:50 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 13:31:38 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 13:31:38 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

12.06.2011 13:31:43 Kaspersky Internet Security Обновление Задача завершена Обновление

 

 

 

12.06.2011 15:45:23 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 15:45:55 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 15:45:55 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

12.06.2011 15:45:57 Kaspersky Internet Security Обновление Задача завершена Обновление

 

 

12.06.2011 17:51:11 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 17:52:14 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 17:52:14 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

12.06.2011 17:52:16 Kaspersky Internet Security Обновление Задача завершена Обновление

 

 

12.06.2011 20:08:32 Kaspersky Internet Security Обновление Задача запущена Обновление

12.06.2011 20:09:09 Kaspersky Internet Security Центр защиты Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe

12.06.2011 20:09:09 Kaspersky Internet Security Обновление Задача завершена Обновление

12.06.2011 20:09:10 Kaspersky Internet Security Центр защиты Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

 

 

Вот так. Если будут какие-то другие советы, то попробуем. Если скажите скачивать посоветованную выше программу, буду скачивать.

[Roman_Five]

буду скачивать.

качайте

[zirreX]

Сделайте лог ComboFix.

[Jeopardist]

вот он

Раскрывающийся текст:

ComboFix 11-06-11.01 - Admin 12.06.2011 21:07:16.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1489 [GMT 3:00]

Running from: c:\documents and settings\Admin\¦рсюўшщ ёЄюы\ComboFix.exe

AV: Kaspersky Internet Security *Disabled/Updated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\Admin\Application Data\Adminlog.dat

c:\documents and settings\Admin\WINDOWS

c:\windows\IsUn0419.exe

c:\windows\system32\setup.exe

c:\windows\system32\winbootr

.

.

((((((((((((((((((((((((( Files Created from 2011-05-12 to 2011-06-12 )))))))))))))))))))))))))))))))

.

.

2011-06-12 14:13 . 2011-06-12 14:13 -------- d-----w- c:\windows\ie8updates

2011-06-12 13:58 . 2011-03-03 06:53 149504 -c----w- c:\windows\system32\dllcache\dnsapi.dll

2011-06-12 13:58 . 2009-04-20 17:08 45568 -c----w- c:\windows\system32\dllcache\dnsrslvr.dll

2011-06-12 13:58 . 2008-10-16 15:07 138496 -c----w- c:\windows\system32\dllcache\afd.sys

2011-06-12 13:58 . 2008-06-20 17:45 247296 -c----w- c:\windows\system32\dllcache\mswsock.dll

2011-06-12 13:58 . 2008-06-20 11:59 361600 -c----w- c:\windows\system32\dllcache\tcpip.sys

2011-06-12 13:56 . 2011-02-15 12:56 290432 -c----w- c:\windows\system32\dllcache\atmfd.dll

2011-06-12 13:56 . 2011-02-22 23:07 602112 -c----w- c:\windows\system32\dllcache\msfeeds.dll

2011-06-12 13:56 . 2011-02-22 23:07 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll

2011-06-12 13:56 . 2011-02-22 23:07 1991680 -c----w- c:\windows\system32\dllcache\iertutil.dll

2011-06-12 13:56 . 2011-02-22 23:07 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2011-06-12 13:56 . 2011-02-22 23:07 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2011-06-12 13:56 . 2011-02-22 23:07 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll

2011-06-12 13:56 . 2011-02-22 23:07 11080704 -c----w- c:\windows\system32\dllcache\ieframe.dll

2011-06-12 13:54 . 2011-01-21 14:42 8480768 -c----w- c:\windows\system32\dllcache\shell32.dll

2011-06-12 13:54 . 2011-01-21 14:42 441344 -c----w- c:\windows\system32\dllcache\shimgvw.dll

2011-06-12 13:54 . 2010-12-22 12:32 301568 -c----w- c:\windows\system32\dllcache\kerberos.dll

2011-06-12 13:54 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys

2011-06-12 13:54 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe

2011-06-12 13:53 . 2011-02-08 13:33 978944 -c----w- c:\windows\system32\dllcache\mfc42.dll

2011-06-12 13:53 . 2010-09-18 06:53 954368 -c----w- c:\windows\system32\dllcache\mfc40.dll

2011-06-12 13:53 . 2010-09-18 06:53 953856 -c----w- c:\windows\system32\dllcache\mfc40u.dll

2011-06-12 13:52 . 2011-02-17 13:19 357888 -c----w- c:\windows\system32\dllcache\srv.sys

2011-06-12 13:52 . 2010-08-27 06:01 99840 -c----w- c:\windows\system32\dllcache\srvsvc.dll

2011-06-12 13:52 . 2010-08-23 16:12 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll

2011-06-12 13:52 . 2010-08-17 13:17 58880 -c----w- c:\windows\system32\dllcache\spoolsv.exe

2011-06-12 13:52 . 2010-06-30 12:24 149504 -c----w- c:\windows\system32\dllcache\schannel.dll

2011-06-12 13:52 . 2010-06-18 13:36 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2011-06-12 13:51 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe

2011-06-12 13:50 . 2010-03-05 14:39 65536 -c----w- c:\windows\system32\dllcache\asycfilt.dll

2011-06-12 13:50 . 2011-03-07 05:31 692736 -c----w- c:\windows\system32\dllcache\inetcomm.dll

2011-06-12 13:50 . 2009-12-17 07:42 345088 -c----w- c:\windows\system32\dllcache\mspaint.exe

2011-06-12 13:50 . 2009-11-27 16:29 8704 -c----w- c:\windows\system32\dllcache\tsbyuv.dll

2011-06-12 13:50 . 2009-11-27 16:29 85504 -c----w- c:\windows\system32\dllcache\avifil32.dll

2011-06-12 13:50 . 2009-11-27 16:29 48128 -c----w- c:\windows\system32\dllcache\iyuv_32.dll

2011-06-12 13:50 . 2009-11-27 16:29 28672 -c----w- c:\windows\system32\dllcache\msvidc32.dll

2011-06-12 13:50 . 2009-11-27 16:29 11264 -c----w- c:\windows\system32\dllcache\msrle32.dll

2011-06-12 10:29 . 2011-06-12 10:29 -------- d-----w- c:\documents and settings\Admin\Application Data\Malwarebytes

2011-06-12 10:29 . 2011-06-12 10:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-06-08 22:53 . 2011-06-08 23:02 97859 ----a-w- c:\windows\system32\drivers\klick.dat

2011-06-08 22:53 . 2011-06-08 23:02 115369 ----a-w- c:\windows\system32\drivers\klin.dat

2011-06-08 22:52 . 2011-06-08 22:52 -------- d-----w- c:\program files\Kaspersky Lab

2011-06-08 22:10 . 2011-06-08 22:10 -------- d--h--w- c:\windows\system32\GroupPolicy

2011-06-08 21:30 . 2011-06-09 00:02 -------- d-----w- c:\documents and settings\Admin\Application Data\Nebe

2011-06-03 18:11 . 1999-06-23 13:13 86016 ----a-w- c:\windows\unvise32.exe

2011-06-02 12:27 . 2011-06-02 12:27 -------- d-----w- c:\documents and settings\Admin\Local Settings\Application Data\Identities

2011-05-18 05:34 . 2011-06-08 07:30 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-05-14 15:30 . 2008-04-14 18:40 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll

2011-05-14 15:30 . 2008-04-14 18:40 21504 ----a-w- c:\windows\system32\hidserv.dll

2011-05-14 15:30 . 2001-10-19 17:33 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys

2011-05-14 15:30 . 2001-10-19 17:33 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys

2011-05-14 15:30 . 2008-04-14 18:17 14720 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys

2011-05-14 15:30 . 2008-04-14 18:17 14720 ----a-w- c:\windows\system32\drivers\kbdhid.sys

2011-05-14 15:30 . 2008-04-13 21:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys

2011-05-14 15:30 . 2008-04-13 21:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys

2011-05-14 15:30 . 2008-04-13 21:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys

2011-05-14 15:30 . 2008-04-13 21:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-04-15 . F6996A72007CF5E4FEA617F1DDDC6916 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2009-01-11 132096]

"louderit.exe"="c:\program files\VolumeControl2\LouderIt.exe" [2008-02-19 41472]

"AuthClient"="c:\documents and settings\Admin\Рабочий стол\akson.exe" [2010-03-04 254464]

"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"DAEMON Tools Lite"="d:\programs\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-10-01 173592]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-10-01 142872]

"TaskSwitchXP"="c:\program files\TaskSwitchXP\TaskSwitchXP.exe" [2007-03-09 62976]

"V0330Mon.exe"="c:\windows\V0330Mon.exe" [2007-02-26 32768]

"CreativeTaskScheduler"="c:\program files\Creative\Shared Files\CTSched.exe" [2006-01-09 53340]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-11-02 365336]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]

"Aml Maple"="c:\program files\AmlMaple\AmlMaple.exe" [2007-12-18 74240]

"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2009-01-11 132096]

"louderit.exe"="c:\program files\VolumeControl2\LouderIt.exe" [2008-02-19 41472]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"IE7_00"="shell32" [X]

"Rebuild Icon Cache"="REBUILDI.EXE" [2009-08-25 278200]

"IE7_01"="advpack.dll" [2009-03-08 128512]

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"InternetOpenWith"= 0 (0x0)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)

"ForceClassicControlPanel"= 1 (0x1)

"InternetOpenWith"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\kloehk.dll

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Aml Maple]

2007-12-18 13:34 74240 ----a-w- c:\program files\AmlMaple\AmlMaple.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

2009-10-01 18:52 141336 ----a-w- c:\windows\system32\igfxtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2006-01-12 11:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2009-08-24 15:01 18702336 -c--a-w- c:\windows\RTHDCPL.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\Admin\\Рабочий стол\\akson.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Install\\utorrent.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

.

R?2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [17.05.2010 21:15 721904]

R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [09.06.2010 16:43 11352]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [07.05.2010 11:06 32856]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 19:27 19472]

R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [03.04.2010 18:32 39424]

S1 MpKsl39ba3a7a;MpKsl39ba3a7a;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl39ba3a7a.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl39ba3a7a.sys [?]

S1 MpKsl5529d481;MpKsl5529d481;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl5529d481.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl5529d481.sys [?]

S1 MpKsl61ee7e10;MpKsl61ee7e10;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl61ee7e10.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl61ee7e10.sys [?]

S1 MpKsl74011209;MpKsl74011209;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl74011209.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{0F29C954-696D-4BA9-9A40-B1A1E0E11AF2}\MpKsl74011209.sys [?]

S1 MpKsl9e56e132;MpKsl9e56e132;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{674E1638-E382-489C-9E99-3EFA78872D07}\MpKsl9e56e132.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{674E1638-E382-489C-9E99-3EFA78872D07}\MpKsl9e56e132.sys [?]

S1 MpKsla1c36099;MpKsla1c36099;\?\c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{7BC8292D-8F79-4296-BE86-F504EDB60DDF}\MpKsla1c36099.sys --> c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{7BC8292D-8F79-4296-BE86-F504EDB60DDF}\MpKsla1c36099.sys [?]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [03.04.2010 18:32 1684736]

S3 io02;Hardware Access Driver;\?\c:\windows\system32\io02.sys --> c:\windows\system32\io02.sys [?]

S3 V0330VID;WebCam Vista/Live! Cam Chat;c:\windows\system32\drivers\V0330Vid.sys [12.03.2010 22:44 185183]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

.

--- Other Services/Drivers In Memory ---

.

*Deregistered* - uphcleanhlp

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.yandex.ru/?clid=48079

uInternet Connection Wizard,ShellNext = iexplore

uInternet Settings,ProxyOverride = <local>

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Закачать ВСЕ при помощи Download Master

IE: Закачать при помощи Download Master

IE: Передать на удаленную закачку DM

TCP: Interfaces\{E0DC6605-D386-4190-8A30-1BE815BD1064}: NameServer = 195.138.193.2,91.209.51.26

.

- - - - ORPHANS REMOVED - - - -

.

Toolbar-ITBar7Position - (no file)

HKCU-Run-RGSC - d:\games\GTA4\Rockstar Games Social Club\RGSCLauncher.exe

Notify-WgaLogon - (no file)

AddRemove-ER3 - c:\windows\IsUn0419.exe

AddRemove-GTA - Vice City Of Lost Heaven - d:\games\GTA - Vice City Of Lost Heaven\unwise.exe

AddRemove-Heroes III The Shadow of Death - c:\windows\IsUn0419.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-06-12 21:11

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_USERS\S-1-5-21-1645522239-1767777339-1801674531-1000\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs Loaded Under Running Processes ---------------------

.

- - - - - - - > 'explorer.exe'(920)

c:\windows\system32\WININET.dll

c:\program files\VolumeControl2\LHook.dll

c:\windows\system32\msi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\UPHClean\uphclean.exe

c:\windows\system32\imapi.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2011-06-12 21:11:54 - machine was rebooted

ComboFix-quarantined-files.txt 2011-06-12 18:11

.

Pre-Run: 40 025 456 640 байт свободно

Post-Run: 39 946 285 056 байт свободно

.

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect

.

- - End Of File - - 5F1CF4D9239655F01B325D480AF2E9C5

 

[zirreX]

Проверьте на VirusTotal

c:\windows\system32\sfcfiles.dll

[Jeopardist]

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: f6996a72007cf5e4fea617f1dddc6916

Date first seen: 2010-03-08 19:40:33 (UTC)

Date last seen: 2010-03-08 19:40:33 (UTC)

Detection ratio: 1/42

 

 

What do you wish to do?

 

я правильно выполнил?

[zirreX]

я правильно выполнил?

Да, только ссылочку дайте на результат.

[Jeopardist]

http://www.virustotal.com/file-scan/reanal...c175-1307908418

[zirreX]

Хорошо.

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"

 

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

 

 

 

 

 

Обнаружено: Worm.Win32.AutoRun.ckjw C:\Documents and Settings\Admin\Application Data\tlzns.exe 
Обнаружено: Trojan.Win32.Llac.zxd C:\WINDOWS\Temp\tmpb050d220\c2.exe

При сканировании KIS их обнаруживает?

 

В карантине они у вас есть? Сделайте так Главное меню KIS - Настройки - Обновления - уберите галочку с "Проверять файлы на карантине после обновления" - Применить.

Ничего не изменилось?