[решено] Проверьте пожалуйста логи. [Версия для КПК]

Показать полную графическую версию : [решено] Проверьте пожалуйста логи.

Страниц : [1] 2

Kaban-keb

22-05-2010, 19:58

Добрый день, проверьте пожалуйста логи. Не дают покоя результаты проверки утилитой "Malwarebytes' Anti-Malware" (фото и отчёт прикладываю). Утилитой CureIt проверил, было удалено куча инфицированных объектов, однако кажется что-то осталось. Спасибо.

Kaban-keb

22-05-2010, 20:08

Файлы:

iskander-k

22-05-2010, 20:13

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\wsBoZgG.exe,\\?\globalr oot\systemroot\system32\b1R65l4.exe,

Эти записи в МБАМ можете оставить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
- остальное удалить.

Kaban-keb

22-05-2010, 20:15

Пробовал удалить, до и после проверки утилитой CureIt- не удаляется. Что посоветуете?

Kaban-keb

22-05-2010, 20:58

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32 »
Этот пункт кажется пропал, выполнил быстрое сканирование утилитой "Malwarebytes' Anti-Malware". А что делать с "D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken." ?

Drongo

22-05-2010, 22:00

kaban-keb, Да это текстовый файл, если вам нужен этот файл, то сохраняйте, если нет - удаляйте.

Что с проблемой?

Kaban-keb

22-05-2010, 22:16

Drongo, userinit.exe удалился. Проблем, кроме keylog.txt не вижу, но что его создаёт? Каждый раз, после удаления его утилитой MBAM- он снова появляется в списке заражённых объектов. Если есть следы- значит есть и источник?

iskander-k

22-05-2010, 23:01

keylog.txt »
Попробуйте найти в самом файле ссылки на программу его создавшую.

Kaban-keb

23-05-2010, 05:57

В файле какая-то белиберда, текст дословно:
***************************E:\Лечения нбука (22:10:38-20:May:2010) ***************************
Kxtybt ЧЗ[BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK][BK]Лечение XP после восстановления

***************************Сохранить как (22:22:26-20:May:2010) ***************************
[BK]

***************************Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. - Windows Internet Explorer (22:26:33-20:May:2010) ***************************
дддддддддддддддддддддддддддддддддддд

Drongo

23-05-2010, 13:16

kaban-keb, Сделайте логи этими утилитами

• Скачайте SDFix ( http://download.bleepingcomputer.com/andymanchesta/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Kaban-keb

23-05-2010, 16:38

Отчёт SDFix:

SDFix: Version 1.240
Run by Admin on 23.05.2010 at 16:24

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

D:\Documents and Settings\Admin\Local Settings\Temp\NEW4.tmp.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-23 16:27:32
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\20\0044\0040\4?\4B\0045\4@\4 ?B?r?o?a?d?c?o?m? ?8?0?2?.?1?1?b?/?g? ?W?L?A?N?"=str(7):"1\0"
"!\0045\4B\0045\0042\4>\49\4 ?0\0044\0040\4?\4B\0045\4@\4 ?1?3?9?4?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0004\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\24\4@\0040\49\0042\0045\4@\4 ?A\0045\4@\0042\0045\4@\0040\4 ?4\4>\4A\4B\4C\4?\0040\4 ?:\4 ?;\4>\4:\0040\4;\4L\4=\4>\49\4 ?A\0045\4B\48\4 ?B?l?u?e?t?o?o?t?h?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:f1,73,a8,3b,b0,57,3c,0c,ba,b7,d9,40,e1,2e,15,08,91,4f,7d,cd,ad,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?W?i?n?d?o?w?s?"="",,,,,,,,,,,,,""
"\37\4>\0044\0042\48\0046\4=\0040\4O\4 ?W?i?n?d?o?w?s?"=""D:\WINDOWS\Cursors\rainbow.ani,,D:\WINDOWS\Cursors\appstart.ani,D:\WINDOWS\Cursors\hourglas.ani,D:\W INDOWS\Cursors\cross.cur,,,,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\Cursors\sizewe.ani,D:\WINDOWS\C ursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\0045\4;\0040\4O\4"=""D:\WINDOWS\Cursors\3dwarro.cur,,D:\WINDOWS\Cursors\appstar3.ani,D:\WINDOWS\Cursors\hourgla3.ani,D:\W INDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dwno.cur,D:\WINDOWS\Cursors\3dwns.cur,D:\WINDOWS\Curs ors\3dwwe.cur,D:\WINDOWS\Cursors\3dwnwse.cur,D:\WINDOWS\Cursors\3dwnesw.cur,D:\WINDOWS\Cursors\3dwmo ve.cur,""
" \4C\4:\48\4 ?1?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\hand.ani,D:\WINDOW S\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\hnodrop.cur,D:\WINDOWS\Cursor s\hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WI NDOWS\Cursors\hmove.cur,""
" \4C\4:\48\4 ?2?"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\handapst.ani,D:\WINDOWS\Cursors\handwait.ani,D:\WI NDOWS\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\handno.ani,D:\WINDOWS\Cur sors\handns.ani,D:\WINDOWS\Cursors\handwe.ani,D:\WINDOWS\Cursors\handnwse.ani,D:\WINDOWS\Cursors\han dnesw.ani,D:\WINDOWS\Cursors\hmove.cur,""
"\24\48\4=\4>\0047\0040\0042\4@\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\dinosaur.ani,D:\WINDOWS\Cursors\dinosau2.ani,D:\W INDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\banana.ani,D:\WINDOWS\Cursors\3dsns.cur,D:\WINDOWS\Cur sors\3dgwe.cur,D:\WINDOWS\Cursors\3dsnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dsm ove.cur,""
"\22\4 ?A\4B\0040\4@\4>\4<\4 ?A\4B\48\4;\0045\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\horse.ani,D:\WINDOWS\Cursors\barber.ani,D:\WINDOWS \Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\coin.ani,D:\WINDOWS\Cursors\3d gns.cur,D:\WINDOWS\Cursors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D :\WINDOWS\Cursors\3dgmove.cur,""
"\24\48\4@\48\0046\0045\4@\4"=""D:\WINDOWS\Cursors\harrow.cur,,D:\WINDOWS\Cursors\drum.ani,D:\WINDOWS\Cursors\metronom.ani,D:\WINDOW S\Cursors\hcross.cur,D:\WINDOWS\Cursors\hibeam.cur,,D:\WINDOWS\Cursors\piano.ani,D:\WINDOWS\Cursors\ hns.cur,D:\WINDOWS\Cursors\hwe.cur,D:\WINDOWS\Cursors\hnwse.cur,D:\WINDOWS\Cursors\hnesw.cur,D:\WIND OWS\Cursors\hmove.cur,""
"#\0042\0045\4;\48\4G\0045\4=\4=\0040\4O\4"=""D:\WINDOWS\Cursors\larrow.cur,,D:\WINDOWS\Cursors\lappstrt.cur,D:\WINDOWS\Cursors\lwait.cur,D:\WINDO WS\Cursors\lcross.cur,D:\WINDOWS\Cursors\libeam.cur,,D:\WINDOWS\Cursors\lnodrop.cur,D:\WINDOWS\Curso rs\lns.cur,D:\WINDOWS\Cursors\lwe.cur,D:\WINDOWS\Cursors\lnwse.cur,D:\WINDOWS\Cursors\lnesw.cur,D:\W INDOWS\Cursors\lmove.cur,""
"\22\0040\4@\48\0040\4F\48\48\4"=""D:\WINDOWS\Cursors\fillitup.ani,,D:\WINDOWS\Cursors\raindrop.ani,D:\WINDOWS\Cursors\counter.ani,D:\W INDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\wagtail.ani,D:\WINDOWS\Cursors\sizens.ani,D:\WINDOWS\C ursors\sizewe.ani,D:\WINDOWS\Cursors\sizenwse.ani,D:\WINDOWS\Cursors\sizenesw.ani,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\4@\4>\4=\0047\4>\0042\0040\4O\4"=""D:\WINDOWS\Cursors\3dgarro.cur,,D:\WINDOWS\Cursors\appstar2.ani,D:\WINDOWS\Cursors\hourgla2.ani,D:\W INDOWS\Cursors\cross.cur,,,D:\WINDOWS\Cursors\3dgno.cur,D:\WINDOWS\Cursors\3dgns.cur,D:\WINDOWS\Curs ors\3dgwe.cur,D:\WINDOWS\Cursors\3dgnwse.cur,D:\WINDOWS\Cursors\3dgnesw.cur,D:\WINDOWS\Cursors\3dgmo ve.cur,""
"'\0045\4@\4=\0040\4O\4 ?"="D:\WINDOWS\cursors\arrow_r.cur,D:\WINDOWS\cursors\help_r.cur,D:\WINDOWS\cursors\wait_r.cur,D:\WINDOW S\cursors\busy_r.cur,D:\WINDOWS\cursors\cross_r.cur,D:\WINDOWS\cursors\beam_r.cur,D:\WINDOWS\cursors \pen_r.cur,D:\WINDOWS\cursors\no_r.cur,D:\WINDOWS\cursors\size4_r.cur,D:\WINDOWS\cursors\size3_r.cur ,D:\WINDOWS\cursors\size2_r.cur,D:\WINDOWS\cursors\size1_r.cur,D:\WINDOWS\cursors\move_r.cur,D:\WIND OWS\cursors\up_r.cur"
"'\0045\4@\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rm.cur,D:\WINDOWS\cursors\help_rm.cur,D:\WINDOWS\cursors\wait_rm.cur,D:\WIN DOWS\cursors\busy_rm.cur,D:\WINDOWS\cursors\cross_rm.cur,D:\WINDOWS\cursors\beam_rm.cur,D:\WINDOWS\c ursors\pen_rm.cur,D:\WINDOWS\cursors\no_rm.cur,D:\WINDOWS\cursors\size4_rm.cur,D:\WINDOWS\cursors\si ze3_rm.cur,D:\WINDOWS\cursors\size2_rm.cur,D:\WINDOWS\cursors\size1_rm.cur,D:\WINDOWS\cursors\move_r m.cur,D:\WINDOWS\cursors\up_rm.cur"
"'\0045\4@\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_rl.cur,D:\WINDOWS\cursors\help_rl.cur,D:\WINDOWS\cursors\wait_rl.cur,D:\WIN DOWS\cursors\busy_rl.cur,D:\WINDOWS\cursors\cross_rl.cur,D:\WINDOWS\cursors\beam_rl.cur,D:\WINDOWS\c ursors\pen_rl.cur,D:\WINDOWS\cursors\no_rl.cur,D:\WINDOWS\cursors\size4_rl.cur,D:\WINDOWS\cursors\si ze3_rl.cur,D:\WINDOWS\cursors\size2_rl.cur,D:\WINDOWS\cursors\size1_rl.cur,D:\WINDOWS\cursors\move_r l.cur,D:\WINDOWS\cursors\up_rl.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"="D:\WINDOWS\cursors\arrow_i.cur,D:\WINDOWS\cursors\help_i.cur,D:\WINDOWS\cursors\wait_i.cur,D:\WINDOW S\cursors\busy_i.cur,D:\WINDOWS\cursors\cross_i.cur,D:\WINDOWS\cursors\beam_i.cur,D:\WINDOWS\cursors \pen_i.cur,D:\WINDOWS\cursors\no_i.cur,D:\WINDOWS\cursors\size4_i.cur,D:\WINDOWS\cursors\size3_i.cur ,D:\WINDOWS\cursors\size2_i.cur,D:\WINDOWS\cursors\size1_i.cur,D:\WINDOWS\cursors\move_i.cur,D:\WIND OWS\cursors\up_i.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_im.cur,D:\WINDOWS\cursors\help_im.cur,D:\WINDOWS\cursors\wait_im.cur,D:\WIN DOWS\cursors\busy_im.cur,D:\WINDOWS\cursors\cross_im.cur,D:\WINDOWS\cursors\beam_im.cur,D:\WINDOWS\c ursors\pen_im.cur,D:\WINDOWS\cursors\no_im.cur,D:\WINDOWS\cursors\size4_im.cur,D:\WINDOWS\cursors\si ze3_im.cur,D:\WINDOWS\cursors\size2_im.cur,D:\WINDOWS\cursors\size1_im.cur,D:\WINDOWS\cursors\move_i m.cur,D:\WINDOWS\cursors\up_im.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_il.cur,D:\WINDOWS\cursors\help_il.cur,D:\WINDOWS\cursors\wait_il.cur,D:\WIN DOWS\cursors\busy_il.cur,D:\WINDOWS\cursors\cross_il.cur,D:\WINDOWS\cursors\beam_il.cur,D:\WINDOWS\c ursors\pen_il.cur,D:\WINDOWS\cursors\no_il.cur,D:\WINDOWS\cursors\size4_il.cur,D:\WINDOWS\cursors\si ze3_il.cur,D:\WINDOWS\cursors\size2_il.cur,D:\WINDOWS\cursors\size1_il.cur,D:\WINDOWS\cursors\move_i l.cur,D:\WINDOWS\cursors\up_il.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_m.cur,D:\WINDOWS\cursors\help_m.cur,D:\WINDOWS\cursors\wait_m.cur,D:\WINDOW S\cursors\busy_m.cur,D:\WINDOWS\cursors\cross_m.cur,D:\WINDOWS\cursors\beam_m.cur,D:\WINDOWS\cursors \pen_m.cur,D:\WINDOWS\cursors\no_m.cur,D:\WINDOWS\cursors\size4_m.cur,D:\WINDOWS\cursors\size3_m.cur ,D:\WINDOWS\cursors\size2_m.cur,D:\WINDOWS\cursors\size1_m.cur,D:\WINDOWS\cursors\move_m.cur,D:\WIND OWS\cursors\up_m.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="D:\WINDOWS\cursors\arrow_l.cur,D:\WINDOWS\cursors\help_l.cur,D:\WINDOWS\cursors\wait_l.cur,D:\WINDOW S\cursors\busy_l.cur,D:\WINDOWS\cursors\cross_l.cur,D:\WINDOWS\cursors\beam_l.cur,D:\WINDOWS\cursors \pen_l.cur,D:\WINDOWS\cursors\no_l.cur,D:\WINDOWS\cursors\size4_l.cur,D:\WINDOWS\cursors\size3_l.cur ,D:\WINDOWS\cursors\size2_l.cur,D:\WINDOWS\cursors\size1_l.cur,D:\WINDOWS\cursors\move_l.cur,D:\WIND OWS\cursors\up_l.cur"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"="D:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe:*:Enabled:CyberLink PowerDVD 9.0"

Remaining Files :

File Backups: - D:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 10 May 2010 4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 25 Nov 2009 308,592 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\Maint.exe"
Thu 6 Mar 2008 61,440 A..H. --- "D:\Program Files\Canon\Easy-WebPrint EX\uinstrsc.dll"
Wed 10 Dec 2008 308,576 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\Maint.exe"
Sun 22 Mar 2009 61,440 A..H. --- "D:\Program Files\Canon\MP Navigator EX 3.0\uinstrsc.dll"

Finished!

RSIT:

Drongo

23-05-2010, 21:18

Критически вредного ничего не увидел. Выполните ещё такой утилитой прогон.

• Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Kaban-keb

23-05-2010, 22:15

ComboFix.zip:

Drongo

24-05-2010, 13:07

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::
d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Kaban-keb

24-05-2010, 13:34

ComboFix.txt 1/2:
ComboFix 10-05-23.06 - Admin 24.05.2010 13:24:49.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.3039.2550 [GMT 4:00]
Running from: d:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: d:\documents and settings\Admin\Рабочий стол\CFScript.txt

FILE ::
"d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\taskmgr.exe

.
((((((((((((((((((((((((( Files Created from 2010-04-24 to 2010-05-24 )))))))))))))))))))))))))))))))
.

2010-05-23 18:14 . 2010-05-23 18:14 7840 ----a-w- D:\ComboFix.zip
2010-05-23 12:31 . 2010-05-23 12:31 -------- d-----w- D:\rsit
2010-05-23 12:31 . 2010-05-23 12:31 -------- d-----w- d:\program files\trend micro
2010-05-23 12:24 . 2010-05-23 12:24 579072 -c--a-w- d:\windows\system32\dllcache\user32.dll
2010-05-23 12:23 . 2010-05-23 12:23 -------- d-----w- d:\windows\ERUNT
2010-05-23 12:14 . 2010-05-23 12:28 -------- d-----w- D:\SDFix
2010-05-22 15:04 . 2010-05-22 15:04 11264 ----a-w- d:\windows\system32\drivers\uzcynze0.sys
2010-05-18 19:35 . 2005-08-16 07:38 17516 ----a-w- d:\windows\system32\drivers\frmupgr.sys
2010-05-18 19:35 . 2005-08-16 07:34 44163 ----a-w- d:\windows\system32\drivers\btwhid.sys
2010-05-18 16:58 . 2010-05-18 16:58 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\WMTools Downloaded Files
2010-05-17 20:34 . 2010-05-17 20:34 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Google
2010-05-17 20:29 . 2010-05-17 20:29 -------- d-----w- d:\documents and settings\LocalService\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:28 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Google
2010-05-17 20:28 . 2010-05-17 20:29 -------- d-----w- d:\program files\Google
2010-05-17 20:16 . 2006-01-30 07:32 5632 ----a-w- d:\windows\system32\pxc25pm.dll
2010-05-17 20:16 . 2004-12-07 05:11 258352 ----a-w- d:\windows\system32\unicows.dll
2010-05-17 20:16 . 2010-05-17 20:19 -------- d-----w- d:\program files\ABBYY PDF Transformer 2.0
2010-05-17 19:43 . 2010-05-17 19:43 -------- d-----w- d:\documents and settings\Admin\Application Data\ABBYY
2010-05-17 18:11 . 2010-05-17 19:43 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\ABBYY
2010-05-17 17:07 . 2010-05-17 17:07 -------- d-----w- d:\windows\Sun
2010-05-17 16:13 . 2010-05-17 16:13 -------- d-----w- d:\program files\Tracker Software
2010-05-17 14:58 . 2009-12-17 20:14 30536 ----a-w- d:\windows\system32\TURegOpt.exe
2010-05-17 14:58 . 2009-12-17 20:08 30024 ----a-w- d:\windows\system32\uxtuneup.dll
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- d:\documents and settings\Admin\Application Data\TuneUp Software
2010-05-17 14:58 . 2010-05-17 14:58 -------- d-----w- d:\program files\TuneUp Utilities 2010
2010-05-17 14:55 . 2010-05-17 14:58 -------- d-----w- d:\documents and settings\All Users\Application Data\TuneUp Software
2010-05-17 14:55 . 2010-05-17 14:55 -------- d-sh--w- d:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-05-16 18:06 . 2010-05-16 18:06 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Cyberlink
2010-05-16 18:05 . 2010-05-16 18:05 -------- d-----w- d:\program files\Common Files\CyberLink
2010-05-16 18:05 . 2010-05-16 18:05 -------- d-----w- d:\program files\CyberLink
2010-05-16 18:04 . 2010-05-16 18:04 29480 ----a-w- d:\windows\system32\msxml3a.dll
2010-05-16 18:04 . 2010-05-16 18:04 53319 ----a-w- d:\documents and settings\All Users\Application Data\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
2010-05-16 17:42 . 2010-05-16 17:42 -------- d-----w- d:\documents and settings\Admin\Application Data\CyberLink
2010-05-16 17:40 . 2010-05-16 17:40 -------- d-----w- d:\documents and settings\All Users\Application Data\CyberLink
2010-05-16 16:51 . 2010-05-18 16:11 -------- d---a-w- d:\documents and settings\All Users\Application Data\TEMP
2010-05-16 16:51 . 2010-05-16 16:52 -------- d-----w- d:\program files\AoA Audio Extractor
2010-05-16 13:04 . 2010-05-16 13:09 -------- d-----w- d:\program files\Runtime Software
2010-05-15 20:17 . 2010-05-15 20:17 -------- d-----w- d:\program files\PC Inspector File Recovery
2010-05-15 16:44 . 2010-05-15 16:47 -------- d-----w- d:\program files\Unlocker
2010-05-15 16:29 . 2010-05-15 16:29 -------- d-----w- d:\documents and settings\Admin\Application Data\Yandex
2010-05-15 16:28 . 2010-05-15 16:28 0 ----a-w- d:\windows\nsreg.dat
2010-05-15 16:28 . 2010-05-15 16:28 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Mozilla
2010-05-15 15:50 . 2010-05-16 17:30 -------- d-----w- d:\documents and settings\Admin\Application Data\petromap
2010-05-15 15:49 . 2010-05-16 17:30 -------- d-----w- d:\program files\Карта Петрозаводска
2010-05-13 17:20 . 2010-05-13 17:20 -------- d-----w- d:\program files\MediaInfo
2010-05-13 16:59 . 2010-05-13 16:59 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\ACD Systems
2010-05-13 16:59 . 2010-05-13 16:59 -------- d-----w- d:\documents and settings\Admin\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58 -------- d-----w- d:\documents and settings\All Users\Application Data\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58 -------- d-----w- d:\program files\Common Files\ACD Systems
2010-05-13 16:58 . 2010-05-13 16:58 -------- d-----w- d:\program files\ACD Systems
2010-05-12 19:06 . 2005-09-01 07:03 5888 ------w- d:\windows\system32\drivers\imagedrv.sys
2010-05-12 19:06 . 2005-09-01 07:03 127488 ------w- d:\windows\system32\drivers\imagesrv.sys
2010-05-12 19:06 . 2006-01-12 11:40 155648 ----a-w- d:\windows\system32\NeroCheck.exe
2010-05-12 19:06 . 2000-06-26 06:45 106496 ----a-w- d:\windows\system32\TwnLib20.dll
2010-05-12 19:06 . 2010-05-12 19:06 -------- d-----w- d:\program files\Ahead
2010-05-12 19:06 . 2010-05-12 19:06 -------- d-----w- d:\program files\Common Files\Ahead
2010-05-12 17:56 . 2010-05-12 17:56 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Ahead
2010-05-11 17:55 . 2010-05-11 17:55 -------- d-----w- d:\documents and settings\All Users\Application Data\LightScribe
2010-05-11 17:55 . 2010-05-11 18:04 -------- d-----w- d:\documents and settings\Admin\Application Data\Nero
2010-05-11 17:09 . 2010-05-11 18:51 -------- d-----w- d:\program files\Common Files\Nero
2010-05-11 17:09 . 2010-05-11 18:51 -------- d-----w- d:\documents and settings\All Users\Application Data\Nero
2010-05-10 17:58 . 2010-05-10 17:58 56 ---ha-w- d:\windows\system32\ezsidmv.dat
2010-05-10 17:58 . 2010-05-10 17:58 -------- d-----w- d:\documents and settings\Admin\Application Data\skypePM
2010-05-10 14:23 . 2010-05-10 18:01 -------- d-----w- d:\documents and settings\Admin\Application Data\Skype
2010-05-10 14:23 . 2010-05-10 14:23 -------- d-----w- d:\program files\Common Files\Skype
2010-05-10 14:23 . 2010-05-10 14:23 -------- d-----r- d:\program files\Skype
2010-05-10 14:23 . 2010-05-10 14:23 -------- d-----w- d:\documents and settings\All Users\Application Data\Skype
2010-05-10 13:53 . 2010-05-15 15:35 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Paint.NET
2010-05-10 13:49 . 2010-05-10 13:49 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Opera
2010-05-10 13:49 . 2010-05-10 13:49 -------- d-----w- d:\program files\Opera
2010-05-10 13:02 . 2010-05-10 13:02 223128 ----a-w- d:\windows\system32\drivers\vaxscsi.sys
2010-05-10 13:02 . 2010-05-10 13:02 -------- d-----w- d:\program files\Alcohol Soft
2010-05-10 12:51 . 2010-05-17 18:12 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Adobe
2010-05-10 12:50 . 2010-05-17 18:12 -------- d-----w- d:\program files\Common Files\Adobe
2010-05-10 12:40 . 2008-09-26 14:01 621056 ----a-r- d:\windows\system32\drivers\mod7700.sys
2010-05-10 12:40 . 2008-09-26 14:01 113664 ----a-r- d:\windows\system32\drivers\ewusbnet.sys
2010-05-10 12:40 . 2008-09-26 14:01 101376 ----a-r- d:\windows\system32\drivers\ewusbmdm.sys
2010-05-10 12:40 . 2008-09-26 14:00 24448 ----a-r- d:\windows\system32\drivers\ewdcsc.sys
2010-05-10 12:39 . 2010-05-10 12:41 -------- d-----w- d:\program files\MegaFon Internet
2010-05-10 12:04 . 2010-05-10 12:14 -------- d-----w- d:\documents and settings\Admin\Application Data\Download Master
2010-05-10 12:04 . 2007-12-18 10:56 1412608 ----a-w- d:\documents and settings\Admin\Application Data\Download Master\temp\skin.dll
2010-05-10 12:04 . 2010-05-10 12:04 -------- d-----w- d:\program files\Download Master
2010-05-10 11:50 . 2010-05-10 12:00 891 ----a-w- d:\windows\system32\secushr.dat
2010-05-10 11:49 . 2010-05-10 11:49 -------- d-----w- d:\documents and settings\Admin\Application Data\FlashGet
2010-05-10 11:19 . 2010-05-10 11:19 -------- d-----w- d:\documents and settings\Admin\Local Settings\Application Data\Help
2010-05-10 11:19 . 2010-05-10 11:38 -------- d-----w- d:\program files\GoldWave
2010-05-10 11:07 . 2010-05-15 15:54 -------- d-----w- d:\program files\Контур Петрозаводск
2010-05-10 11:00 . 2010-05-10 11:00 -------- d-----w- d:\program files\LizardTech
2010-05-10 10:54 . 2010-05-10 10:55 -------- d-----w- d:\windows\ShellNew
2010-05-10 10:32 . 2010-05-10 10:32 -------- d--h--w- d:\documents and settings\All Users\Application Data\CanonIJScan
2010-05-10 10:30 . 2010-05-10 10:32 -------- d-----w- d:\documents and settings\Admin\Application Data\Canon
2010-05-10 08:24 . 2009-04-28 11:41 303104 ----a-w- d:\windows\system32\CNC640L.dll
2010-05-10 08:24 . 2009-04-03 12:00 1310720 ----a-w- d:\windows\system32\CNC640C.dll
2010-05-10 08:24 . 2009-04-03 11:59 110592 ----a-w- d:\windows\system32\CNC640I.dll
2010-05-10 08:24 . 2009-04-03 11:57 106496 ----a-w- d:\windows\system32\CNC640U.dll
2010-05-10 08:24 . 2008-08-25 14:02 15872 ----a-w- d:\windows\system32\CNHMCA.dll
2010-05-10 08:24 . 2008-04-13 20:15 15104 -c--a-w- d:\windows\system32\dllcache\usbscan.sys
2010-05-10 08:24 . 2008-04-13 20:15 15104 ----a-w- d:\windows\system32\drivers\usbscan.sys
2010-05-10 08:24 . 2010-05-10 08:44 -------- d-----w- d:\documents and settings\Admin\Application Data\Canon Easy-WebPrint EX
2010-05-10 08:24 . 2010-05-10 08:24 -------- d-----w- d:\program files\Common Files\CANON
2010-05-10 08:22 . 2010-05-10 08:22 -------- d--h--w- d:\documents and settings\All Users\Application Data\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22 -------- d--h--w- d:\windows\system32\CanonIJ Uninstaller Information
2010-05-10 08:22 . 2009-05-26 01:00 70656 ----a-w- d:\windows\system32\Spool\prtprocs\w32x86\CNMPPA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00 27648 ----a-w- d:\windows\system32\Spool\prtprocs\w32x86\CNMPDA2.DLL
2010-05-10 08:22 . 2009-05-26 01:00 272384 ----a-w- d:\windows\system32\CNMLMA2.DLL
2010-05-10 08:22 . 2009-03-18 00:09 178176 ----a-w- d:\windows\system32\CNMIUA2.DLL
2010-05-10 08:22 . 2009-02-04 04:17 90112 ----a-w- d:\windows\system32\CNC640O.dll
2010-05-10 08:22 . 2010-05-10 08:22 -------- d--h--w- d:\program files\CanonBJ
2010-05-10 08:22 . 2010-05-10 08:22 -------- d-----w- d:\windows\system32\STRING
2010-05-10 08:22 . 2010-05-10 08:22 -------- d-----w- d:\windows\system32\CHM
2010-05-10 08:22 . 2009-04-03 07:51 137216 ----a-w- d:\windows\system32\CNMNPUI.DLL
2010-05-10 08:22 . 2009-04-03 07:51 353792 ----a-w- d:\windows\system32\CNMNPPM.DLL
2010-05-10 08:20 . 2010-05-10 08:24 -------- d-----w- d:\program files\Canon
2010-05-10 08:17 . 2008-04-13 20:17 25856 -c--a-w- d:\windows\system32\dllcache\usbprint.sys
2010-05-10 08:17 . 2008-04-13 20:17 25856 ----a-w- d:\windows\system32\drivers\usbprint.sys
2010-05-08 20:20 . 2010-05-08 20:20 -------- d-----w- d:\documents and settings\Admin\Application Data\Media Player Classic
2010-05-08 19:59 . 2010-05-08 19:59 -------- d-----w- d:\windows\system32\LogFiles
2010-05-08 19:58 . 2008-04-13 20:15 26112 -c--a-w- d:\windows\system32\dllcache\usbser.sys
2010-05-08 19:58 . 2008-04-13 20:15 26112 ----a-w- d:\windows\system32\drivers\usbser.sys
2010-05-08 19:56 . 2008-03-21 09:57 14640 ------w- d:\windows\system32\spmsgXP_2k3.dll
2010-05-08 19:56 . 2010-05-08 19:56 -------- d-----w- d:\documents and settings\Admin\Application Data\Nokia
2010-05-08 19:56 . 2010-05-08 19:59 -------- d-----w- d:\documents and settings\Admin\Application Data\PC Suite
2010-05-08 19:56 . 2010-05-08 19:59 -------- d-----w- d:\documents and settings\All Users\Application Data\PC Suite
2010-05-08 19:54 . 2010-05-08 19:54 95232 ----a-w- d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-05-08 19:54 . 2010-05-08 19:54 8192 ----a-w- d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-24 09:24 . 2008-04-15 13:00 77078 ----a-w- d:\windows\system32\perfc019.dat
2010-05-24 09:24 . 2008-04-15 13:00 448934 ----a-w- d:\windows\system32\perfh019.dat
2010-05-08 20:23 . 2010-05-08 20:23 -------- d-----w- d:\program files\K-Lite Codec Pack
2010-05-08 19:59 . 2010-05-08 19:59 0 ---ha-w- d:\windows\system32\drivers\Msft_User_PCCSWpdDriver_01_07_00.Wdf
2010-05-08 19:59 . 2010-05-08 19:59 0 ---ha-w- d:\windows\system32\drivers\MsftWdf_user_01_07_00.Wdf
2010-05-08 19:56 . 2010-05-08 19:56 0 ---ha-w- d:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2010-05-08 19:56 . 2010-05-08 19:56 0 ---ha-w- d:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2010-05-08 19:55 . 2010-05-08 19:55 -------- d-----w- d:\program files\Common Files\PCSuite
2010-05-08 19:55 . 2010-05-08 19:55 -------- d-----w- d:\program files\Common Files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55 -------- d-----w- d:\program files\Nokia
2010-05-08 19:55 . 2010-05-08 19:55 -------- d-----w- d:\program files\DIFX
2010-05-08 19:55 . 2010-05-08 19:55 -------- d-----w- d:\program files\PC Connectivity Solution
2010-05-07 15:01 . 2010-05-04 21:55 86327 ----a-w- d:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-05-05 16:10 . 2010-05-05 16:10 0 ---ha-w- d:\windows\system32\drivers\Msft_Kernel_HpqKbFiltr_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50 0 ---ha-w- d:\windows\system32\drivers\Msft_Kernel_enecir_01005.Wdf
2010-05-05 14:50 . 2010-05-05 14:50 0 ---ha-w- d:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2010-05-05 01:50 . 2010-05-05 01:50 -------- d-----w- d:\program files\IDT
2010-05-04 22:09 . 2010-05-04 22:09 552 ----a-w- d:\windows\system32\d3d8caps.dat
2010-05-04 21:59 . 2010-05-04 21:59 -------- d-----w- d:\program files\VistaDriveIcon
2010-05-04 21:59 . 2010-05-04 21:59 722416 ----a-w- d:\windows\system32\drivers\sptd.sys
2010-05-04 21:59 . 2010-05-04 21:59 -------- d---a-w- d:\program files\Paint.NET
2010-05-04 21:58 . 2010-05-04 21:59 411368 ----a-w- d:\windows\system32\deploytk.dll
2010-05-04 21:58 . 2010-05-04 21:58 -------- d-----w- d:\program files\Java
2010-05-04 21:53 . 2010-05-04 21:53 22564 ----a-w- d:\windows\system32\emptyregdb.dat
2010-05-04 21:53 . 2010-05-04 21:53 -------- d-----w- d:\program files\Windows Media Connect 2
2010-04-21 19:27 . 2010-05-08 19:55 34001264 ----a-w- d:\documents and settings\All Users\Application Data\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_rus_web.exe
2010-03-09 07:01 . 2010-04-29 17:27 130672 ----a-w- d:\windows\system32\drivers\jmcr.sys
.

------- Sigcheck -------

[-] 2009-09-13 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . d:\windows\system32\drivers\tcpip.sys

[-] 2009-09-13 . 85315C6F61092584BCD96A1EF8A02B4C . 78360 . . [7.2.6001.788] . . d:\windows\system32\wuauclt.exe

[-] 2010-05-23 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\dllcache\user32.dll
[-] 2009-09-13 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . d:\windows\system32\user32.dll

[-] 2009-09-13 . 7BF5762CE65A58B7C15B78673F3C3DD3 . 1040384 . . [8.00.6001.22896] . . d:\windows\system32\wininet.dll

[-] 2009-09-13 . B8D3A575A3C0E1A4B724E2BD05394E60 . 1721344 . . [6.00.2900.5512] . . d:\windows\explorer.exe

[-] 2009-09-13 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll

[-] 2009-09-13 . C4C2628D119D2FF1B7723E084F4B181E . 30208 . . [5.1.2600.5512] . . d:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-05-23_18.03.22 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-15 13:00 . 2010-05-23 12:30 63862 d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24 63862 d:\windows\system32\perfc009.dat
+ 2008-04-15 13:00 . 2010-05-24 09:24 406662 d:\windows\system32\perfh009.dat
- 2008-04-15 13:00 . 2010-05-23 12:30 406662 d:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
"Download Master"="d:\program files\Download Master\dmaster.exe" [2010-04-30 3791360]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-17 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysTrayApp"="d:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
"HP Software Update"="d:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"WirelessAssistant"="d:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2009-09-01 499768]
"QlbCtrl.exe"="d:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 321080]
"CanonMyPrinter"="d:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-23 1983816]
"CanonSolutionMenu"="d:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-17 767312]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"UnlockerAssistant"="d:\program files\Unlocker\UnlockerAssistant.exe" [2010-03-09 15872]
"RemoteControl9"="d:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-11-29 87336]
"BDRegion"="d:\program files\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2009-09-13 30208]
"VistaIcon"="d:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-09-13 128512]
"IE8_02"="advpack.dll" [2009-09-13 128512]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"MaxRecentDocs"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
"MSMSGS"="d:\program files\Messenger\msmsgs.exe" /background
"swg"="d:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20548:TCP"= 20548:TCP

R1 uzcynze0;AVZ-RK Kernel Driver;d:\windows\system32\drivers\uzcynze0.sys [22.05.2010 19:04 11264]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2010/05/16 22:05];d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl [29.11.2009 18:41 87536]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [18.12.2009 0:12 1044808]
R3 AESTAud;AE Audio Service;d:\windows\system32\drivers\AESTAud.sys [05.05.2010 5:45 113664]
R3 Com4QLBEx;Com4QLBEx;d:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [05.05.2010 20:10 228408]
R3 enecir;ENE CIR Receiver;d:\windows\system32\drivers\enecir.sys [29.04.2010 21:27 54784]
R3 enecirhid;ENE CIR HID Receiver;d:\windows\system32\drivers\enecirhid.sys [29.04.2010 21:27 11264]
R3 enecirhidma;ENE CIR HIDmini Filter;d:\windows\system32\drivers\enecirhidma.sys [29.04.2010 21:27 5632]
R3 JMCR;JMCR;d:\windows\system32\drivers\jmcr.sys [29.04.2010 21:27 130672]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;d:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 7:24 10064]
S0 sptd;sptd;d:\windows\system32\drivers\sptd.sys [05.05.2010 1:59 722416]
S2 gupdate;Служба Google Update (gupdate);d:\program files\Google\Update\GoogleUpdate.exe [18.05.2010 0:29 136176]
S3 vaxscsi;vaxscsi;d:\windows\system32\drivers\vaxscsi.sys [10.05.2010 17:02 223128]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-05-19 d:\windows\Tasks\Automatic troubleshooting.job
- d:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-12-17 20:18]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]

2010-05-18 d:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- d:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 20:29]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: &Экспорт в Microsoft Excel - d:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: Google ВикиКомментарии... - d:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Закачать ВСЕ при помощи Download Master - d:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - d:\program files\Download Master\dmie.htm
IE: Отправить через &Bluetooth - d:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Передать на удаленную закачку DM - d:\program files\Download Master\remdown.htm
IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - d:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
Trusted Zone: kuaiche.com\software
FF - ProfilePath - d:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\wuievqru.default\
FF - plugin: d:\program files\Canon\Easy-PhotoPrint EX\NPEZFFPI.DLL
FF - plugin: d:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: d:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: d:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: d:\program files\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
FF - plugin: d:\program files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
d:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)

Kaban-keb

24-05-2010, 13:35

ComboFix.txt 2/2:

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-24 13:27
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\d:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\.Default\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\AppGPFault\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CCSelect\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Close\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Insert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Hardware Remove.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\DeviceFail\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\InternetAlert\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Battery Critical.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MailBeep\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\New Messages.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Maximize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Minimize.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuCommand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Menu Command.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\MenuPopup\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Minimize\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Restore.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\Open\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\PrintComplete\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Print Complete.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreDown\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\RestoreUp\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\ShowBand\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Ringin.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemExit\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Shutdown.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemHand\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Critical Stop.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemNotification\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Exclamation.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStart\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Startup.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\SystemStartMenu\25@0*7~]
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\Grab.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log Off.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\Resources\\Themes\\SDF-Vista10\\Sounds\\System Log In.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\25@0*7~]
@="Windows Pop-up Blocked.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\25@0*7~]
@="Windows Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\Navigating\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@=expand:"%SystemRoot%\\media\\Windows Navigation Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\25@0*7~]
@=""

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\25@0*7~]
@="Windows Information Bar.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_ContactOnline\25@0*7~]
@="d:\\Program Files\\Messenger\\online.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewAlert\25@0*7~]
@="d:\\Program Files\\Messenger\\newalert.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMail\25@0*7~]
@="d:\\Program Files\\Messenger\\newemail.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\MSMSGS\MSMSGS_NewMessage\25@0*7~]
@="d:\\Program Files\\Messenger\\type.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Recycle.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Feed Discovered.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Windows Vista Start.wav"

[HKEY_USERS\S-1-5-21-1801674531-73586283-682003330-500\AppEvents\Schemes\Names\25@0*7~]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
@="Звер"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1200)
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\cscui.dll
d:\windows\system32\COMRes.dll
.
Completion time: 2010-05-24 13:27:57
ComboFix-quarantined-files.txt 2010-05-24 09:27
ComboFix2.txt 2010-05-23 18:04

Pre-Run: 10*882*023*424 байт свободно
Post-Run: 10*856*603*648 байт свободно

- - End Of File - - 675ECAB817C12E41D4D68AF32F72AF5E

Drongo

24-05-2010, 15:09

kaban-keb, Какая реакция после выполнения скрипта?

Kaban-keb

24-05-2010, 17:04

Уважаемый Drongo, реакции после выполнения скрипта нет, т.к. запись в отчёте "МБАМ"- "D:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken." пропала ещё после первого прогона утилитой "ComboFix". Предполагаю, что тему можно закрывать, но хотелось бы получить ответы:
1.За компьютером, кроме меня, будет работать ещё и девушка- совсем полная "блондинка". Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. Боюсь, как бы она не сделала что-нибудь не то с выбором загрузки. Можно ли как нибудь убрать её, поискал сам на http://support.microsoft.com/kb/307654/ru:
Удаление консоли восстановления
Чтобы удалить консоль восстановления, выполните указанные ниже действия.
Перезагрузите компьютер, выберите в меню Пуск пункт Мой компьютер, а затем два раза щелкните значок жесткого диска, на котором установлена консоль восстановления.
В меню Сервис выберите команду Свойства папки и перейдите на вкладку Вид.
Выберите вариант Показывать скрытые файлы и папки, снимите флажок Скрывать защищенные системные файлы и нажмите кнопку ОК.
В корневой папке диска удалите папку Cmdcons и файл Cmldr.
В корневой папке диска щелкните правой кнопкой мыши файл Boot.ini и выберите пункт Свойства.
Снимите флажок атрибута Только чтение и нажмите кнопку OК.
Предупреждение! Неправильное изменение файла Boot.ini может привести к проблемам с загрузкой компьютера. Удалите только запись, относящуюся к консоли восстановления. После этого снова установите для файла Boot.ini атрибут «Только чтение». Откройте файл Boot.ini с помощью программы «Блокнот» и удалите запись, относящуюся к консоли восстановления. Эта запись выглядит примерно так:
C:\cmdcons\bootsect.dat="Microsoft Windows Recovery Console" /cmdcons
Сохраните и закройте файл.
Всё верно? А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или другого ПО) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb".
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты.
4.Аналогично D\Qoobox, содержащую карантин и отчеты
5.Можно ли удалить программу D:\Program Files\trend micro, думаю, что да :).
6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?:
не забудьте после окончания лечения удалить драйвер AVZM
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe"
8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит- окно пустое.
Была проведена довольно большая работа по установке ОС, поиску драйвов и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы.
Drongo, ответьте, пожалуйста, на вопросы. Спасибо.

Drongo

24-05-2010, 17:30

Разъясните мне: по видимому я, во время прогона "ComboFix", установил консоль восстановления Windows. А если на машине установлено 2 ОС: Vista и XP (мы лечили XP на диске D), не будут проблемы с загрузкой Висты на С:?
»Установить вы её не должны, поскольку в рекомендациях этого не было, разве что самостоятельно установили. Честно говоря, на этот вопрос у меня нет ответа. Давать рисковый совет не хочу, поэтому дождитесь если кто ответить что по этому вопросу.

2.Можно ли удалить (я имею ввиду не отразится ли это на работе ОС и/или других ) папку, содержащую карантин и отчеты: "D\Documents and Settings\админ\DrWeb". »Можно, если есть Dr.Web, то удаляйте средствами самой программы. Если программы Dr.Web нет, то удалите вручную.
3.Аналогично "D:\Documents and Settings\Admin\Application Data\Malwarebytes\Malwarebytes' Anti-Malware", содержащую карантин и отчеты. »Деинсталируйте программу через установку\удаление программ
4.Аналогично D\Qoobox, содержащую карантин и отчеты
7.Ну и собственно все отчёты и файлы, которые оставили антивирусные утилиты: SDFix, rsit, а также ярлык с рабочего стола: "ComboFix.exe" »
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down), запустите, нажмите Clean up

8.Как восстановить список в панель управления/установка и удаление программ? Видимо его то же заблокировала какая-то из утилит. »
begin
ClearQuarantine;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

6.Необходимо ли выгружать драйвер AVZM перед удалением, если программа не будет использоваться и будет удалена из компьютера?: »
Begin
ExecuteStdScr(6);
RebootWindows(true);
end.И удалить папку с программой.

Была проведена довольно большая работа по установке ОС и куча, требуемого в работе, дополнительного ПО. В очередной раз не хотелось бы это терять, создам образ системы. »Конечно лучше было бы сделать образ чистой системы, а не пролеченой.

Kaban-keb

27-05-2010, 18:48

Консоль удалил без проблем, как указано. После лечения провёл полную проверку всего компьютера утилитами MBAM и CureIt (в безопасном режиме)- всё чисто (кроме инструмента, использовавшегося при лечении- SDFix.exe). Удалил следы всех антивирусных утилит. Напоследок было решено провести проверку и Касперской Virus Removal Tool. В обычном режиме- чисто, однако в ручном режиме были обнаружены какие-то угрозы. Можно ли знатокам ещё раз взглянуть на прилагаемое фото и логи (действительно ли это угрозы, ведь 2 антивиря ничего не распознали)? Если чего-то не хватает- выполню. Спасибо