Показать полную графическую версию : Закрывается Internet Explorer 7 при переходе по любому адресу
SDFix: Version 1.240
Run by TravelMate on 19.03.2009 at 17:17
Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\directx.sys - Deleted
C:\DOCUME~1\TRAVEL~1\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\TRAVEL~1\LOCALS~1\Temp\.ttE0.tmp - Deleted
C:\DOCUME~1\TRAVEL~1\LOCALS~1\Temp\.tt2.tmp - Deleted
C:\WINDOWS\antiv.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-19 17:36:06
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\MSMSGS.EXE"="C:\\Program Files\\Messenger\\MSMSGS.EXE:*:Enabled:Windows Messenger"
"C:\\Program Files\\Orbitdownloader\\orbitdm.exe"="C:\\Program Files\\Orbitdownloader\\orbitdm.exe:*:Enabled:Orbit"
"C:\\Program Files\\Orbitdownloader\\orbitnet.exe"="C:\\Program Files\\Orbitdownloader\\orbitnet.exe:*:Enabled:Orbit"
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Agnitum\\Outpost Firewall\\outpost.exe"="C:\\Program Files\\Agnitum\\Outpost Firewall\\outpost.exe:*:Enabled:Outpost Firewall main module"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:зTorrent"
"D:\\Њ®Ё ¤а*©ўҐал, гвЁ«Ёвл\\utorrent-1.8-alpha-7398.upx.exe"="D:\\Њ®Ё ¤а*©ўҐал, гвЁ«Ёвл\\utorrent-1.8-alpha-7398.upx.exe:*:Enabled:зTorrent"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\FlylinkDC++\\FlylinkDC.exe"="C:\\Program Files\\FlylinkDC++\\FlylinkDC.exe:*:Enabled:FlylinkDC++"
"C:\\Documents and Settings\\TravelMate\\ђ*Ў®зЁ© бв®«\\Drw_upVDB.exe"="C:\\Documents and Settings\\TravelMate\\ђ*Ў®зЁ© бв®«\\Drw_upVDB.exe:*:Enabled:Drw_upVDB"
"C:\\Program Files\\StrongDC++\\StrongDC.exe"="C:\\Program Files\\StrongDC++\\StrongDC.exe:*:Enabled:StrongDC++"
"D:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC-s16_1.exe"="D:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC-s16_1.exe:*:Enabled:ApexDC++"
"D:\\FOS\\Downloads\\-=Demon=- GreyLink DC++ 4.42.exe"="D:\\FOS\\Downloads\\-=Demon=- GreyLink DC++ 4.42.exe:*:Enabled:-=Demon=- Greylink DC++"
"C:\\Program Files\\ICQ6\\ICQ.exe"="C:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Common Files\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"C:\\Program Files\\AIM6\\aim6.exe"="C:\\Program Files\\AIM6\\aim6.exe:*:Enabled:AIM"
"D:\\Program Files\\Opera 9\\Opera.exe"="D:\\Program Files\\Opera 9\\Opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\Gizmo5\\Gizmo5.exe"="C:\\Program Files\\Gizmo5\\Gizmo5.exe:*:Enabled:Gizmo5"
"D:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC.exe"="D:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC.exe:*:Enabled:ApexDC++"
"C:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"="C:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe:*:Enabled:VoipBuster"
"D:\\Program Files\\ICQ6\\ICQ.exe"="D:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"="D:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe:*:Enabled:VoipCheapCom"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"="C:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe:*:Enabled:VoipCheapCom"
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"="C:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll:*:Enabled:Google Talk Plugin"
"C:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"="C:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe:*:Enabled:Google Talk Plugin"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Mon 7 Apr 2008 528,896 ...H. --- "C:\~WRL1116.tmp"
Mon 7 Apr 2008 586,240 ...H. --- "C:\~WRL4062.tmp"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Mon 17 Dec 2007 27,648 ..SH. --- "C:\WINDOWS\system32\Smab0.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\ntiembed.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Sun 20 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 10 Apr 2008 505,856 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL4065.tmp"
Fri 11 Apr 2008 509,952 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL0679.tmp"
Sat 29 Mar 2008 54,784 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL2493.tmp"
Sat 29 Mar 2008 55,296 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL2272.tmp"
Sat 29 Mar 2008 55,296 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL0040.tmp"
Sat 29 Mar 2008 56,320 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL3713.tmp"
Wed 2 Apr 2008 29,184 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL1384.tmp"
Sun 6 Apr 2008 578,560 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL3425.tmp"
Sat 5 Apr 2008 509,440 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL0084.tmp"
Sun 6 Apr 2008 172,032 ...H. --- "C:\Documents and Settings\TravelMate\Application Data\Microsoft\Word\~WRL3590.tmp"
Finished!
zonet, кое-что из зловредов sdfix удалил, сделайте остальные логи, желательно в разделе Лечение систем от вредоносных программ и созданием своей темы. Временные файлы почистите, проверьте файлы
Mon 17 Dec 2007 27,648 ..SH. --- "C:\WINDOWS\system32\Smab0.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\ntiembed.dll"
Mon 3 Jan 2005 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
На virustotal.com, ссылки на рез-т проверки выложите.
Удалите Bonjour Service см. здесь (http://virusinfo.info/showthread.php?t=27923) или здесь (http://forum.oszone.net/post-659376.html)
Pili, все что с Nti это компоненты программы NTI CD-DVD maker, наверно нет смысла их проверять?
а вот Smab0.dll - такого файла нет, есть такой же, но без нуля.
Файл Smab.dll получен 2009.03.03 14:47:08 (CET)
Текущий статус: закончено
Результат: 1/39 (2.56%)
eSafe - - Suspicious File
Временные файлы почистите »
имеете ввиду очистить папку с:\temp ?
А сколько времени идет проверка Malwarebytes? А то 2 часа идет, а только добралась до C:\Program Files
наверно нет смысла их проверять? »
Сложно 2 мин. (даже меньше) .на проверку потратить? NTIMPEG2 . DLL - Threat report! (http://www.incodesolutions.com/threats2/System32Rootntimpeg2dll.php)
Все подозрительные можете запаковать с паролем virus и отправить в вирлаб на newvirus@kaspersky.com и/или вирлаб той компании чьим антивирусным продуктом пользуетесь
имеете ввиду очистить папку с:\temp »
см. правила (http://forum.oszone.net/thread-98169.html), там описано как чистить временные файлы (ATF - Cleaner)
А сколько времени идет проверка Malwarebytes? »
У всех по разному, зависит от кол-ва файлов на дисках.
C:\WINDOWS\system32\Smab0.dll - скрытый атрибуты SH - включите показ скрытых файлов или используйте FAR.
Файл NTIMPEG2.dll получен 2009.03.19 18:27:38 (CET)
Текущий статус: закончено
Результат: 0/39 (0%)
---------------------------
Файл ntiembed.dll получен 2009.03.19 18:30:59 (CET)
Текущий статус: закончено
Результат: 0/39 (0%)
--------------------------
Файл NTICDMK32.dll получен 2009.03.19 18:39:25 (CET)
Текущий статус: закончено
Результат: 0/39 (0%)
А что в ATF отметить для удаления?
Smab0.dll не нахожу
Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1870
Windows 5.1.2600 Service Pack 3
19.03.2009 21:17:38
mbam-log-2009-03-19 (21-17-38).txt
Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 334984
Прошло времени: 3 hour(s), 17 minute(s), 20 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 2
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xttb00001.xttb00001toolbar (Adware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\Program Files\WinRAR\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
1)bonjour у меня не удаляется описанными способами
2)теперь каждый раз при запуске XP появляется то пустое окно с каракулями (см. сообщение #40 на 4 странице)
3)при запуске IE7 выскакивает ошибка(см.вложение), но зато исчезла ошибка msvcrt.dll (получается какое-никакое, а движение вперед:))
Pili, хотел сейчас сделать это
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe »
Но боюсь, там что-то так всё сложно на первый взгляд.
До этого была одна проблема - закрывающийся IE7, но с каждой проверкой ошибок становится только больше, боюсь как-бы совсем не накрылось всё.:(
1)bonjour у меня не удаляется описанными способами »
Там не сложно, удаляете службу, можно скриптом, с помощью LSP-Fix удаляете mdnsNSP.dll из настроек SPI/LSP
А что в Combofix сложного? Подробно на русском здесь (http://www.spyware-ru.com/combofix/)
Combofix делает точку восстановления, поэтому сможете откатить, если возникнут проблемы
Проверку произвел
ComboFix 09-03-19.01 - TravelMate 2009-03-20 17:28:30.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2046.1598 [GMT 3:00]
Running from: c:\documents and settings\TravelMate\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\TravelMate\Рабочий стол\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
AV: Outpost Security Suite Pro *On-access scanning disabled* (Updated)
AV: Panda Antivirus + Firewall 2008 *On-access scanning disabled* (Updated)
FW: Outpost Security Suite Pro *disabled*
FW: Panda Antivirus 2008 Personal Firewall *disabled*
* Created a new restore point
* Resident AV is active
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\npf.sys
c:\windows\system32\packet.dll
c:\windows\system32\syscomb30.dll
c:\windows\system32\tmp10.tmp
c:\windows\system32\tmp11.tmp
c:\windows\system32\tmp12.tmp
c:\windows\system32\tmp13.tmp
c:\windows\system32\tmp28.tmp
c:\windows\system32\tmp29.tmp
c:\windows\system32\tmp36.tmp
c:\windows\system32\wanpacket.dll
c:\windows\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_NPF
-------\Service_NPF
((((((((((((((((((((((((( Files Created from 2009-02-20 to 2009-03-20 )))))))))))))))))))))))))))))))
.
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\documents and settings\TravelMate\Application Data\Malwarebytes
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-19 17:52 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-19 17:52 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-19 17:16 . 2009-03-19 17:16 579,072 --a------ c:\windows\system32\dllcache\user32.dll
2009-03-19 16:53 . 2009-03-19 16:53 <DIR> d-------- c:\windows\ERUNT
2009-03-19 16:26 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-03-17 13:17 . 2004-08-17 16:04 343,040 --a------ c:\windows\system32\msvcrt.dll
2009-03-15 18:14 . 2009-03-19 22:54 11,264 --a------ c:\windows\system32\drivers\uzi4nzez.sys
2009-03-14 18:05 . 2008-04-14 20:10 81,920 --a------ c:\windows\system32\ieencode.dll
2009-03-14 18:05 . 2007-08-13 18:45 78,336 --a------ c:\windows\system32\dllcache\ieencode.dll
2009-03-14 17:01 . 2009-03-14 17:03 652,089 --a------ C:\bookmark.htm
2009-03-11 17:43 . 2009-03-11 17:43 <DIR> d-------- c:\windows\system32\Midnight Club Los Angeles dir
2009-03-11 17:20 . 2009-03-11 17:20 <DIR> d-------- c:\documents and settings\TravelMate\Application Data\GrabPro
2009-03-11 10:16 . 2009-03-11 10:17 11,189 --a------ C:\Заявление о выдаче исполнительного листа.docx
2009-03-11 10:14 . 2009-03-11 10:24 11,253 --a------ C:\Заявление о выдаче копи кассац определения.docx
2009-03-11 09:01 . 2009-03-11 09:01 <DIR> d-------- c:\documents and settings\TravelMate\IECompatCache
2009-03-09 19:41 . 2009-03-09 19:41 <DIR> d-------- c:\program files\YouTube Downloader
2009-03-09 18:03 . 2009-03-09 18:03 <DIR> d-------- c:\program files\Windows Desktop Search
2009-03-09 17:48 . 2009-03-09 17:48 <DIR> d--hs---- c:\documents and settings\TravelMate\PrivacIE
2009-03-09 17:48 . 2009-03-09 17:48 <DIR> d--hs---- c:\documents and settings\TravelMate\IETldCache
2009-03-09 17:39 . 2009-03-09 17:39 <DIR> d-------- c:\windows\ie8updates
2009-03-06 19:23 . 2007-09-20 13:04 114,688 --a------ c:\windows\system32\BTCamVideoSource.dll
2009-03-06 19:22 . 2009-03-06 19:23 <DIR> d-------- c:\program files\Mobiola Web Camera for S60
2009-03-02 19:34 . 2009-03-02 19:34 <DIR> d-------- C:\hidownload
2009-03-02 19:30 . 2009-03-02 19:30 <DIR> d-------- c:\program files\StreamingStar
2009-02-26 12:10 . 2004-08-18 05:00 14,848 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 12:10 . 2004-08-18 05:00 14,848 --a------ c:\windows\system32\dllcache\kbdhid.sys
2009-02-25 16:30 . 2009-02-25 16:30 <DIR> d-------- c:\program files\Nuclear Coffee
2009-02-25 00:28 . 2009-01-09 22:19 1,089,883 --------- c:\windows\system32\dllcache\ntprint.cat
2009-02-20 22:24 . 2009-02-20 22:24 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-20 10:57 . 2006-11-16 14:35 262,144 --a------ c:\windows\system32\sptlib01.dll
2009-02-20 10:57 . 2007-03-15 04:27 253,952 --a------ c:\windows\system32\sptlib02.dll
2009-02-20 10:57 . 2007-07-25 22:18 73,728 --a------ c:\windows\system32\CardID.dll
2009-02-20 10:57 . 2007-02-07 08:09 49,152 --a------ c:\windows\system32\AVerIO.dll
2009-02-20 10:57 . 2005-04-27 14:08 3,456 --a------ c:\windows\system32\AVerIO.sys
2009-02-20 10:56 . 2009-02-20 10:56 <DIR> d-------- c:\program files\Common Files\AVerMedia
2009-02-20 10:52 . 2009-02-20 10:52 477,696 --a------ C:\Вся работа (Глава1-Глава2) моя редакция.doc
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-20 14:32 308,588 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-20 14:32 26,298,400 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-18 18:04 201,728 ----a-w c:\windows\system32\GT_ScreenSaver_01_01.scr
2009-02-09 14:07 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 14:07 1,846,912 ------w c:\windows\system32\dllcache\win32k.sys
2009-01-29 18:31 --------- d-----w c:\documents and settings\All Users\Application Data\Bluetooth
2009-01-29 17:50 --------- d-----w c:\program files\Agnitum
2009-01-29 17:50 --------- d-----w c:\documents and settings\TravelMate\Application Data\Agnitum
2009-01-29 17:50 --------- d-----w c:\documents and settings\All Users\Application Data\Agnitum
2009-01-24 17:15 --------- d-----w c:\program files\ABBYY Lingvo x3
2009-01-23 21:38 --------- d-----w c:\program files\IVT Corporation
2009-01-20 17:52 --------- d-----w c:\program files\VoipCheapCom
2009-01-20 17:33 695,578 ----a-w c:\windows\system32\unins000.exe
2009-01-20 17:33 --------- d-----w c:\program files\CamStudio
2009-01-16 18:30 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll
2007-12-15 15:40 2,654,664 ----a-w c:\program files\DAEMON411-LITE-X64.EXE
2007-12-14 20:42 2,492,360 ----a-w c:\program files\DAEMON411-LITE-X86.EXE
2009-03-17 16:25 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-03-17 16:25 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-03-17 16:25 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-03-17 16:25 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-03-17 16:25 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-06-07 17:03 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008060720080608\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Punto Switcher"="c:\program files\Punto Switcher\ps.exe" [2007-11-14 201728]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Google Update"="c:\documents and settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-02-06 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"LManager"="c:\program files\Launch Manager\QtZgAcer.EXE" [2004-12-09 311296]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2008-02-15 176128]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 180224]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-01-21 2889216]
"QuickTime Task"="c:\qt\qttask.exe" [2008-11-04 413696]
"Lingvo Launcher"="c:\program files\ABBYY Lingvo x3\LvAgent.exe" [2008-11-19 1770784]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-12-25 1292120]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Security Suite Pro\feedback.exe" [2008-12-25 432984]
"Ярлык для страницы свойств High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 c:\windows\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 c:\windows\AGRSMMSG.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 c:\windows\ALCWZRD.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]
c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-04-21 693520]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm
"vidc.CSCD"= camcodec.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^AVerQuick.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\AVerQuick.lnk
backup=c:\windows\pss\AVerQuick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^honestech One Touch DVD Receiver.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\honestech One Touch DVD Receiver.lnk
backup=c:\windows\pss\honestech One Touch DVD Receiver.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^TravelMate^Главное меню^Программы^Автозагрузка^BWMeter.lnk]
path=c:\documents and settings\TravelMate\Главное меню\Программы\Автозагрузка\BWMeter.lnk
backup=c:\windows\pss\BWMeter.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-12-07 21:10 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 c:\program files\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-12-05 15:41 49152 c:\program files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05]
--a------ 2008-02-15 21:34 491520 c:\windows\system32\hphmon05.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD05]
--a------ 2004-04-01 13:33 49152 c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 18:08 173304 d:\program files\ICQ6\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-18 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lingvo Launcher]
--a------ 2006-12-14 00:09 258048 c:\program files\ABBYY Lingvo 12\LvAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
--a------ 2008-08-18 20:25 3110392 c:\documents and settings\TravelMate\Application Data\Mail.Ru\Agent\magent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 20:11 1695232 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-18 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-18 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-18 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\qt\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-07-15 01:07 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
--a------ 2002-12-16 16:51 36864 c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-03-25 04:28 144784 c:\program files\Java\jre1.6.0_06\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
--a------ 2007-03-03 14:12 341488 c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\FlylinkDC++\\FlylinkDC.exe"=
"c:\\Program Files\\StrongDC++\\StrongDC.exe"=
"d:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC-s16_1.exe"=
"d:\\FOS\\Downloads\\-=Demon=- GreyLink DC++ 4.42.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"d:\\Program Files\\Opera 9\\Opera.exe"=
"d:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC.exe"=
"d:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R1 is-3RL2Vdrv;is-3RL2Vdrv;c:\windows\system32\drivers\29703511.sys [2008-12-13 148496]
R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2009-01-29 703904]
R1 uzi4nzez;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzi4nzez.sys [2009-03-15 11264]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]
R2 ABBYY.Licensing.Lingvo.Desktop.14.0;Сервис лицензирования ABBYY Lingvo x3;c:\program files\Common Files\ABBYY\Lingvo\14.0\Licensing\NetworkLicenseServer.exe [2008-11-19 808224]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-01-29 1604952]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2008-01-18 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2008-01-18 78208]
R2 NVKEYNT;NVKEYNT;c:\windows\system32\drivers\NVKEYNT.SYS [2008-04-15 68704]
R2 venemu;venemu;c:\windows\system32\drivers\venemu.sys [2008-04-15 18944]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [2009-01-29 30864]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-01-29 257176]
R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2009-01-29 34080]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [1980-01-01 193878]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [1980-01-01 7100]
R3 Start BT in service;Start BT in service;c:\program files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2007-04-21 52080]
R3 VBEngNT;VBEngNT;c:\windows\system32\drivers\VBEngNT.sys [2009-01-29 1075154]
R3 VBFilt;VBFilt;c:\windows\system32\Filt\VBFilt.dll [2009-01-29 229024]
S2 osaio;osaio;c:\windows\system32\drivers\osaio.sys --> c:\windows\system32\drivers\osaio.sys [?]
S2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys --> c:\windows\system32\drivers\osanbm.sys [?]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [2009-01-06 16269]
S3 AVerBDA3x;AVerMedia SAA713x BDA Service;c:\windows\system32\drivers\AVerBDA3x.sys [2008-07-17 1176192]
S3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [2008-05-06 509312]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - f:\wd_windows_tools\Setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{198a220d-e561-11dc-ae41-000b6b5dfc8f}]
\Shell\AutoRun\command - E:\uxdeiect.com
\Shell\explore\Command - E:\uxdeiect.com
\Shell\open\Command - E:\uxdeiect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64287c1a-80d3-11dd-af33-000b6b5dfc8f}]
\Shell\AutoRun\command - f:\wd_windows_tools\Setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8fd121fc-7367-11dd-af1b-000b6b5dfc8f}]
\Shell\AutoRun\command - b.com
\Shell\explore\Command - b.com
\Shell\open\Command - b.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{efda4f5d-0859-11dd-aea2-0012f049bfaf}]
\Shell\AutoRun\command - E:\b.com
\Shell\explore\Command - E:\b.com
\Shell\open\Command - E:\b.com
.
Contents of the 'Scheduled Tasks' folder
2009-03-19 c:\windows\Tasks\HP Usg Daily.job
- c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2004-04-01 13:33]
2009-03-20 c:\windows\Tasks\User_Feed_Synchronization-{E028F5C6-98A8-4430-B7D7-8AAE8E66FB34}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
2009-03-19 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1510415948-2603230877-842530975-1004.job
- c:\documents and settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-06 20:39]
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - (no file)
Notify-avldr - avldr.dll
SafeBoot-Winfm63.sys
MSConfigStartUp-Aim6 - c:\program files\AIM6\aim6.exe
MSConfigStartUp-DriverUpdaterPro - c:\program files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe
MSConfigStartUp-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
MSConfigStartUp-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-TomcatStartup - c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
MSConfigStartUp-VoipBuster - c:\program files\VoipBuster.com\VoipBuster\VoipBuster.exe
MSConfigStartUp-VoipCheapCom - d:\program files\VoipCheapCom\VoipCheapCom.exe
.
------- Supplementary Scan -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: {{4034D172-4C52-49de-A6A1-E75F8F591FEC} - c:\program files\PRMT8\PRMTIE\options.htm
IE: {{A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - c:\program files\PRMT8\PRMTIE\prmtie5.htm
IE: {{88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - {17A84966-F1E9-4645-AA9E-5E771EE1C859} - c:\progra~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
FF - ProfilePath - c:\documents and settings\TravelMate\Application Data\Mozilla\Firefox\Profiles\fyd2tkpd.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{231D7D17-4F1B-4933-AB61-E502DB82FD11}\components\FFTransSend.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-20 17:36:08
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1510415948-2603230877-842530975-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
@SACL=
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(1384)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\SCARDSVR.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\system32\rundll32.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
.
**************************************************************************
.
Completion time: 2009-03-20 17:40:15 - machine was rebooted
ComboFix-quarantined-files.txt 2009-03-20 14:40:10
Pre-Run: 4*663*083*008 байт свободно
Post-Run: 4,519,133,184 байт свободно
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
334 --- E O F --- 2009-03-14 19:21:57
Браузер так и не работает. Стал закрываться еще быстрее, теперь даже ESC нажать не успеваю, чтобы оставить его загрузку и соответственно выход из него.
А куда все пропали? Я сделал наверно всё, что мне советовали:( Подскажите еще что-нибудь.
А что в ATF отметить для удаления? »
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Smab0.dll не нахожу »
Чем искали? По логам combofix есть
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll »
AV: Outpost Security Suite Pro *On-access scanning disabled* (Updated)
AV: Panda Antivirus + Firewall 2008 *On-access scanning disabled* (Updated) »
Рекомендация оставить один firewall была.
E:\uxdeiect.com, E:\b.com - диск E это флешка? Автозапуск отключен?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{198a220d-e561-11dc-ae41-000b6b5dfc8f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64287c1a-80d3-11dd-af33-000b6b5dfc8f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8fd121fc-7367-11dd-af1b-000b6b5dfc8f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{efda4f5d-0859-11dd-aea2-0012f049bfaf}]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
http://virusnet.info/images/CFScript.gif
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению, сделайте новый лог Hijackthis.
Pili, с ATF разобрался.
Файерволл стоит один - Agnitum.
От Панды остались наверно запчасти:) в реестре. Удалял ее полностью.
Да, диск E - флешка, автозапуск включен, вставляю ее редко, в момент проверок флешка не была установлена.
Проверку сделал и логи тоже
ComboFix 09-03-22.01 - TravelMate 2009-03-23 13:44:32.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2046.1563 [GMT 3:00]
Running from: c:\documents and settings\TravelMate\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\TravelMate\Рабочий стол\CFScript.txt
AV: Outpost Security Suite Pro *On-access scanning disabled* (Updated)
AV: Panda Antivirus + Firewall 2008 *On-access scanning disabled* (Updated)
FW: Outpost Security Suite Pro *disabled*
FW: Panda Antivirus 2008 Personal Firewall *disabled*
* Created a new restore point
* Resident AV is active
.
((((((((((((((((((((((((( Files Created from 2009-02-23 to 2009-03-23 )))))))))))))))))))))))))))))))
.
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\documents and settings\TravelMate\Application Data\Malwarebytes
2009-03-19 17:52 . 2009-03-19 17:52 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-19 17:52 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-19 17:52 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-19 17:16 . 2009-03-19 17:16 579,072 --a------ c:\windows\system32\dllcache\user32.dll
2009-03-19 16:53 . 2009-03-19 16:53 <DIR> d-------- c:\windows\ERUNT
2009-03-19 16:26 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-03-17 13:17 . 2004-08-17 16:04 343,040 --a------ c:\windows\system32\msvcrt.dll
2009-03-15 18:14 . 2009-03-19 22:54 11,264 --a------ c:\windows\system32\drivers\uzi4nzez.sys
2009-03-14 18:05 . 2008-04-14 20:10 81,920 --a------ c:\windows\system32\ieencode.dll
2009-03-14 18:05 . 2007-08-13 18:45 78,336 --a------ c:\windows\system32\dllcache\ieencode.dll
2009-03-14 17:01 . 2009-03-14 17:03 652,089 --a------ C:\bookmark.htm
2009-03-11 17:43 . 2009-03-11 17:43 <DIR> d-------- c:\windows\system32\Midnight Club Los Angeles dir
2009-03-11 17:20 . 2009-03-11 17:20 <DIR> d-------- c:\documents and settings\TravelMate\Application Data\GrabPro
2009-03-11 10:16 . 2009-03-11 10:17 11,189 --a------ C:\Заявление о выдаче исполнительного листа.docx
2009-03-11 10:14 . 2009-03-11 10:24 11,253 --a------ C:\Заявление о выдаче копи кассац определения.docx
2009-03-11 09:01 . 2009-03-11 09:01 <DIR> d-------- c:\documents and settings\TravelMate\IECompatCache
2009-03-09 19:41 . 2009-03-09 19:41 <DIR> d-------- c:\program files\YouTube Downloader
2009-03-09 18:03 . 2009-03-09 18:03 <DIR> d-------- c:\program files\Windows Desktop Search
2009-03-09 17:48 . 2009-03-09 17:48 <DIR> d--hs---- c:\documents and settings\TravelMate\PrivacIE
2009-03-09 17:48 . 2009-03-09 17:48 <DIR> d--hs---- c:\documents and settings\TravelMate\IETldCache
2009-03-09 17:39 . 2009-03-09 17:39 <DIR> d-------- c:\windows\ie8updates
2009-03-06 19:23 . 2007-09-20 13:04 114,688 --a------ c:\windows\system32\BTCamVideoSource.dll
2009-03-06 19:22 . 2009-03-06 19:23 <DIR> d-------- c:\program files\Mobiola Web Camera for S60
2009-03-02 19:34 . 2009-03-02 19:34 <DIR> d-------- C:\hidownload
2009-03-02 19:30 . 2009-03-02 19:30 <DIR> d-------- c:\program files\StreamingStar
2009-02-26 12:10 . 2004-08-18 05:00 14,848 --a------ c:\windows\system32\drivers\kbdhid.sys
2009-02-26 12:10 . 2004-08-18 05:00 14,848 --a------ c:\windows\system32\dllcache\kbdhid.sys
2009-02-25 16:30 . 2009-02-25 16:30 <DIR> d-------- c:\program files\Nuclear Coffee
2009-02-25 00:28 . 2009-01-09 22:19 1,089,883 --------- c:\windows\system32\dllcache\ntprint.cat
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-20 14:45 308,588 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-20 14:45 26,298,400 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-02-20 07:56 --------- d-----w c:\program files\Common Files\AVerMedia
2009-02-18 18:04 201,728 ----a-w c:\windows\system32\GT_ScreenSaver_01_01.scr
2009-02-09 14:07 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 14:07 1,846,912 ------w c:\windows\system32\dllcache\win32k.sys
2009-01-29 18:31 --------- d-----w c:\documents and settings\All Users\Application Data\Bluetooth
2009-01-29 17:50 --------- d-----w c:\program files\Agnitum
2009-01-29 17:50 --------- d-----w c:\documents and settings\TravelMate\Application Data\Agnitum
2009-01-29 17:50 --------- d-----w c:\documents and settings\All Users\Application Data\Agnitum
2009-01-24 17:15 --------- d-----w c:\program files\ABBYY Lingvo x3
2009-01-23 21:38 --------- d-----w c:\program files\IVT Corporation
2009-01-20 17:33 695,578 ----a-w c:\windows\system32\unins000.exe
2009-01-16 18:30 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll
2007-12-15 15:40 2,654,664 ----a-w c:\program files\DAEMON411-LITE-X64.EXE
2007-12-14 20:42 2,492,360 ----a-w c:\program files\DAEMON411-LITE-X86.EXE
2009-03-17 16:25 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-03-17 16:25 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-03-17 16:25 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-03-17 16:25 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-03-17 16:25 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-06-07 17:03 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008060720080608\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Punto Switcher"="c:\program files\Punto Switcher\ps.exe" [2007-11-14 201728]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Google Update"="c:\documents and settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-02-06 133104]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"LManager"="c:\program files\Launch Manager\QtZgAcer.EXE" [2004-12-09 311296]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2008-02-15 176128]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 180224]
"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-01-21 2889216]
"QuickTime Task"="c:\qt\qttask.exe" [2008-11-04 413696]
"Lingvo Launcher"="c:\program files\ABBYY Lingvo x3\LvAgent.exe" [2008-11-19 1770784]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2008-12-25 1292120]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Security Suite Pro\feedback.exe" [2008-12-25 432984]
"Ярлык для страницы свойств High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 c:\windows\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 c:\windows\AGRSMMSG.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]
"SoundMan"="SOUNDMAN.EXE" [2004-11-02 c:\windows\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-12-10 c:\windows\ALCWZRD.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 1232896]
c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2007-04-21 693520]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm
"msacm.dvacm"= c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm
"vidc.CSCD"= camcodec.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^AVerQuick.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\AVerQuick.lnk
backup=c:\windows\pss\AVerQuick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^honestech One Touch DVD Receiver.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\honestech One Touch DVD Receiver.lnk
backup=c:\windows\pss\honestech One Touch DVD Receiver.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^TravelMate^Главное меню^Программы^Автозагрузка^BWMeter.lnk]
path=c:\documents and settings\TravelMate\Главное меню\Программы\Автозагрузка\BWMeter.lnk
backup=c:\windows\pss\BWMeter.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-12-07 21:10 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 c:\program files\HP\hpcoretech\hpcmpmgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2003-12-05 15:41 49152 c:\program files\Hewlett-Packard\HP Software Update\hpwuSchd2.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05]
--a------ 2008-02-15 21:34 491520 c:\windows\system32\hphmon05.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD05]
--a------ 2004-04-01 13:33 49152 c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 18:08 173304 d:\program files\ICQ6\ICQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-18 05:00 208952 c:\windows\ime\imjp8_1\imjpmig.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lingvo Launcher]
--a------ 2006-12-14 00:09 258048 c:\program files\ABBYY Lingvo 12\LvAgent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
--a------ 2008-08-18 20:25 3110392 c:\documents and settings\TravelMate\Application Data\Mail.Ru\Agent\magent.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 20:11 1695232 c:\program files\Messenger\msmsgs.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-18 05:00 59392 c:\windows\system32\IME\PINTLGNT\IMSCINST.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-18 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-18 05:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-11-04 10:30 413696 c:\qt\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-07-15 01:07 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StatusClient]
--a------ 2002-12-16 16:51 36864 c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-03-25 04:28 144784 c:\program files\Java\jre1.6.0_06\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
--a------ 2007-03-03 14:12 341488 c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Orbitdownloader\\orbitdm.exe"=
"c:\\Program Files\\Orbitdownloader\\orbitnet.exe"=
"c:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\FlylinkDC++\\FlylinkDC.exe"=
"c:\\Program Files\\StrongDC++\\StrongDC.exe"=
"d:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC-s16_1.exe"=
"d:\\FOS\\Downloads\\-=Demon=- GreyLink DC++ 4.42.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"d:\\Program Files\\Opera 9\\Opera.exe"=
"d:\\FOS\\SAMA PROGA\\ApexDC_s16.1_rus\\ApexDC.exe"=
"d:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\VoipCheapCom\\VoipCheapCom.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.dll"=
"c:\\Documents and Settings\\TravelMate\\Local Settings\\Application Data\\Google\\Google Talk Plugin\\googletalkplugin.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R1 is-3RL2Vdrv;is-3RL2Vdrv;c:\windows\system32\drivers\29703511.sys [2008-12-13 148496]
R1 SandBox;SandBox;c:\windows\system32\drivers\SandBox.sys [2009-01-29 703904]
R1 uzi4nzez;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzi4nzez.sys [2009-03-15 11264]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]
R2 ABBYY.Licensing.Lingvo.Desktop.14.0;Сервис лицензирования ABBYY Lingvo x3;c:\program files\Common Files\ABBYY\Lingvo\14.0\Licensing\NetworkLicenseServer.exe [2008-11-19 808224]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2008-01-18 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2008-01-18 78208]
R2 NVKEYNT;NVKEYNT;c:\windows\system32\drivers\NVKEYNT.SYS [2008-04-15 68704]
R2 venemu;venemu;c:\windows\system32\drivers\venemu.sys [2008-04-15 18944]
R3 afw;Agnitum firewall driver;c:\windows\system32\drivers\afw.sys [2009-01-29 30864]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2009-01-29 257176]
R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2009-01-29 34080]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [1980-01-01 193878]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [1980-01-01 7100]
R3 Start BT in service;Start BT in service;c:\program files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2007-04-21 52080]
R3 VBEngNT;VBEngNT;c:\windows\system32\drivers\VBEngNT.sys [2009-01-29 1075154]
R3 VBFilt;VBFilt;c:\windows\system32\Filt\VBFilt.dll [2009-01-29 229024]
S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2009-01-29 1604952]
S2 osaio;osaio;c:\windows\system32\drivers\osaio.sys --> c:\windows\system32\drivers\osaio.sys [?]
S2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys --> c:\windows\system32\drivers\osanbm.sys [?]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [2009-01-06 16269]
S3 AVerBDA3x;AVerMedia SAA713x BDA Service;c:\windows\system32\drivers\AVerBDA3x.sys [2008-07-17 1176192]
S3 AVerE506;AVerE506 service;c:\windows\system32\drivers\AVerE506.sys [2008-05-06 509312]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - f:\wd_windows_tools\Setup.exe
.
Contents of the 'Scheduled Tasks' folder
2009-03-23 c:\windows\Tasks\HP Usg Daily.job
- c:\program files\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe [2004-04-01 13:33]
2009-03-22 c:\windows\Tasks\User_Feed_Synchronization-{E028F5C6-98A8-4430-B7D7-8AAE8E66FB34}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]
2009-03-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1510415948-2603230877-842530975-1004.job
- c:\documents and settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-02-06 20:39]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: {{4034D172-4C52-49de-A6A1-E75F8F591FEC} - c:\program files\PRMT8\PRMTIE\options.htm
IE: {{A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - c:\program files\PRMT8\PRMTIE\prmtie5.htm
IE: {{88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - {17A84966-F1E9-4645-AA9E-5E771EE1C859} - c:\progra~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
FF - ProfilePath - c:\documents and settings\TravelMate\Application Data\Mozilla\Firefox\Profiles\fyd2tkpd.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - prefs.js: network.proxy.type - 2
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{231D7D17-4F1B-4933-AB61-E502DB82FD11}\components\FFTransSend.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 13:48:25
Windows 5.1.2600 Service Pack 3 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_USERS\S-1-5-21-1510415948-2603230877-842530975-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
@SACL=
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(1384)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-03-23 13:50:13
ComboFix-quarantined-files.txt 2009-03-23 10:50:10
ComboFix2.txt 2009-03-20 14:40:20
Pre-Run: 3*468*165*120 байт свободно
Post-Run: 3,461,185,536 байт свободно
263 --- E O F --- 2009-03-14 19:21:57
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:48, on 23.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\Common Files\ABBYY\Lingvo\14.0\Licensing\NetworkLicenseServer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\acer\epm\epm-dm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\TravelMate\Рабочий стол\Новая папка (3)\Новая папка (2)\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
O3 - Toolbar: PROMT - {892E81F6-EC63-4d13-8422-835A7A05D6EB} - C:\Program Files\PRMT8\PRMTIE\prmtie.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Ярлык для страницы свойств High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [QuickTime Task] "C:\QT\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo x3\LvAgent.exe" /STARTUP
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Security Suite Pro\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\TravelMate\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Настроить параметры перевода - {4034D172-4C52-49de-A6A1-E75F8F591FEC} - C:\Program Files\PRMT8\PRMTIE\options.htm
O9 - Extra button: Быстрая настройка Outpost Security Suite Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Security Suite Pro\ie_bar.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Перевести - {A2DA13D5-AC77-43b7-963B-40445EBCB8E0} - C:\Program Files\PRMT8\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\TravelMate\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Documents and Settings\TravelMate\Application Data\Mail.Ru\Agent\magent.exe (HKCU)
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\Program Files\StreamingStar\HiDownload\hidownload.exe (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab?AuthParam=1212467831_9fe3581cff1a4457884bb594a96b2b11&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab&File=jinstall-6u6-windows-i586-jc.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Сервис лицензирования ABBYY Lingvo x3 (ABBYY.Licensing.Lingvo.Desktop.14.0) - ABBYY Software Ltd - C:\Program Files\Common Files\ABBYY\Lingvo\14.0\Licensing\NetworkLicenseServer.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Start BT in service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 11838 bytes
Если файлы проверили и они чистые, то по логам зловредов больше не видно. Можете пофиксить в HijackThis
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
Рекомендация удалить Bonjour Service и Outpost (для проверки) была ранее. Можете ещё обновить Adobe Acrobat и JRE (http://java.sun.com/javase/downloads/index.jsp).
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите CleanUp!
Pili, все сделал.
Bonjour удалил еще тогда, я писал. Неужели от него что-то осталось? Папки такой уже нет.
Рекомендация удалить Bonjour Service и Outpost (для проверки) была ранее »
Про Outpost не понял, зачем же его удалять?
JRE скачал и обновил.
Обновить Acrobat из него самого нет возможности, пишет нет обновлений. Под кнопкой закрыть есть рекламка New Acrobat, она открывается через IE7, а он у меня так и не открывается. Могу конечно скачать с сайта, а надо ли?
Combofix удалил.
OTCleanIt'ом не знаю что сделал - запустил, нажал CleanUp!. Программа сказала надо перезагрузиться для удаления. После перезагрузки никаких проявлений программы я не заметил.
IE7 закрывается также, как и закрывался. Может его еще раз переустановить?
IE7 переустановил, как не работал, так и не работает.
Что же делать теперь?:(
Bonjour удалил еще тогда, я писал. Неужели от него что-то осталось? Папки такой уже нет. »
O23 - Service: Bonjour Service - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) »
Сервис остался, удалите скриптом (http://virusinfo.info/showthread.php?t=27923) и используйете LSP-Fix
OTCleanIt'ом не знаю что сделал - запустил, нажал CleanUp!. Программа сказала надо перезагрузиться для удаления. После перезагрузки никаких проявлений программы я не заметил. »
Удаляет остатки от sdfix и combofix
IE7 переустановил, как не работал, так и не работает. »
по логам зловредов больше не видно »
Про Outpost не понял, зачем же его удалять? »
Для проверки. Ещё предположение - у вас много BHO
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll
Возможно проблема связана с какой-то из этих программ, попробуйте деинсталлировать их по очереди, начиная с FLV Downloader
Pili,
Bonjour удалил через средство Установка и удаление программ, включил LSP-Fix (пишет No problems found).
Outpost удалил.
Orbit оставил - он у меня уже (пару лет). Правда я скачал для него обновление после перехода на IE8, но когда восстанавливал систему до более раннего состояния вернулся и мой прежний Orbit.
SnagIt тоже уже давно - программа для записи в видео файл происходящего на экране.
Megaupload Toolbar - удалил
Спутник@Mail.Ru - удалил
Google Toolbar Helper - удалил
C:\Program Files\Moyea\FLV Downloader\ - удалил
А может дело во Framework 3.5 sp1 кажется недавно его ставил
Пока после всех операций IE7 так и не работает:(
Мне кажется хватит лечить windows, пора заняться восстановлением именно сектора Internet Explorer (может запуститься с WinXP CD и через командную строку заменить как-то все файлы относящиеся к IE7)
Pili, мне кажется вы забываете первопричину - а это откат с IE8! а пока мы лечим так, будто отказ IE7 случился в результате установки стороннего софта.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.