Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Одна из программ или еще что-то просится в интернет (http://forum.oszone.net/showthread.php?t=108141)

SHVV 31-05-2008 00:20 814893
Одна из программ или еще что-то просится в интернет
 
Вложений: 1
При включении компьютера какая-то программа подключает доступ в интернет самостоятельно, т.е. ждет пока модем активирует линию и сразу подключает интернет, ну если нетрудно то и насчет проблем можно пройтись.

Pili 31-05-2008 08:40 814984
SHVV, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sw24.exe','');
 QuarantineFile('C:\WINDOWS\system32\sw20.exe','');
 QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\gpprefcl.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, [at] это @, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Если Client Service for NetWare не используется, можете удалить его в настройках сети.
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

SHVV 31-05-2008 21:20 815417
Письмо ушло с файлом, заранее спасибо за помощь.

Pili 02-06-2008 08:11 816357
SHVV, куда вы отправляли файл? У меня в почте нет. Можете проверить файлы в карантине на virustotal.com и выложить результат.

Pili 04-06-2008 15:20 818238
SHVV, в карантине был только файл gpprefcl.dll - чистый, остальные файлы видимо прошли по базе безопасных AVZ, на всякий случай можете найти проверить файлы C:\WINDOWS\system32\sw24.exe, C:\WINDOWS\system32\sw20.exe на virustotal.com, но скорее всего окажутся чистыми
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Можете ещё сделать логи с помощью утилиты Deckard's System Scanner
Скачайте Deckard's System Scanner и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, скопируйте текст из main.txt и extra.txt и вставьте его в окно вашего сообщения.

SHVV 04-06-2008 22:06 818493
Код:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6

CPU 0: Intel(R) Core(TM)2 CPU          6700  @ 2.66GHz
Percentage of Memory in Use: 16%
Physical Memory (total/avail): 3007.11 MiB / 2504.41 MiB
Pagefile Memory (total/avail): 4893.09 MiB / 4614.46 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1917.6 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 29.29 GiB total, 14.86 GiB free.
D: is Fixed (NTFS) - 45.23 GiB total, 2.01 GiB free.
E: is CDROM (No Media)
F: is Fixed (NTFS) - 74.53 GiB total, 3.46 GiB free.
I: is CDROM (No Media)

\\.\PHYSICALDRIVE1 - ST380013AS - 74.53 GiB - 1 partition
  \PARTITION0 - Устанавливаемая файловая система - 74.53 GiB - F:

\\.\PHYSICALDRIVE0 - ST380817AS - 74.53 GiB - 2 partitions
  \PARTITION0 (bootable) - Устанавливаемая файловая система - 29.29 GiB - C:
  \PARTITION1 - Расшир. Win95/98 c расшир. IRQ13 - 45.23 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\SHVV\Application Data
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=QQ1
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\SHVV
LOGONSERVER=\\QQ1
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 6, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f06
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\SHVV\LOCALS~1\Temp
TMP=C:\DOCUME~1\SHVV\LOCALS~1\Temp
USERDOMAIN=QQ1
USERNAME=SHVV
USERPROFILE=C:\Documents and Settings\SHVV
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

SHVV (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Архиватор WinRAR (только удаление) --> C:\Program Files\WinRAR\uninstall.exe
Исправление для проигрывателя Windows Media 11 - (KB939683) --> "C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Сократ Персональный 4.1 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9CD789E2-B7CE-11D5-B7E9-00A0C9449F99}\setup.exe"
Базовый пакет поставщика службы криптографии смарт-карт (Microsoft) --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Обновление НДС НП версии 1.6.1.11 --> "C:\Program Files\НДС НП\unins000.exe"
Обновление ИСИД НП версии 1.6.1.18 --> "C:\Program Files\ИСИД НП\unins000.exe"
Обновление безопасности для Windows XP - (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Обновление безопасности для Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Обновление безопасности для проигрывателя Windows Media 11 - (KB936782) --> "C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
ЭФНО НП версии 1.6.1.16 --> "C:\Program Files\ЭФНО НП\unins000.exe"
3D Home Architect РУССКАЯ ВЕРСИЯ --> C:\PROGRA~1\BRODER~1\3DHOME~1\UNWISE.EXE C:\PROGRA~1\BRODER~1\3DHOME~1\INSTALL.LOG
7-Zip 4.57 --> "C:\Program Files\7-Zip\Uninstall.exe"
ABBYY FineReader 7.0 Professional Edition --> MsiExec.exe /I{AAF70000-22B9-4CE9-98D6-2CCF359BAC07}
ACDSee 6.0 PowerPack --> MsiExec.exe /I{38A0BB97-772D-422E-BCCA-4BA2A5D81F42}
Acronis*TrueImage --> C:\Program Files\Acronis\TrueImage\MediaBuilder.exe -uninstall
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9c.exe -uninstallUnlock
Adobe Flash Player Plugin --> C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop CS --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x9
Adobe Reader 7.0 - Russian --> MsiExec.exe /I{AC76BA86-7AD7-1049-7B44-A70000000000}
ATI - Утилита деинсталляции --> C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI HYDRAVISION --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{083F79E4-6FE9-46FB-A6C6-4F8862742947}\setup.exe"
Attansic Giga Ethernet Utility --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe" -l0x9
Auto Gordian Knot 2.45 --> C:\Program Files\AutoGK\uninst.exe
AVerTV --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{8DF56C91-281F-4C15-B954-F45FDC919568} /l1049
AviSynth 2.5 --> "C:\Program Files\AviSynth 2.5\Uninstall.exe"
bdeinstall --> "C:\Program Files\Common Files\Borland Shared\BDE\uninstall.exe"
Bred3.0.3 --> C:\Program Files\Bred3\uninst.exe
Canon LASER SHOT LBP-1120 --> C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3UNIK.EXE
CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"
CloneCD --> C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Elaborate Bytes\CloneCD\Uninst.isu" -c"C:\Program Files\Elaborate Bytes\CloneCD\InstallHelp.dll"
CorelDRAW Graphics Suite X3 --> MsiExec.exe /I{7C5123A9-30A8-4C44-89CA-A8C87A1FCC91}
Describer Version 5.4.1 (Russian) --> "C:\Program Files\Describer\unins000.exe"
DjVu Solo 3.1 --> C:\WINDOWS\IsUninst.exe -f"C:\Program Files\LizardTech\DjVu Solo 3.1\Uninst.isu"
Download Master version 5.5.2.1117 --> "C:\Program Files\Download Master\unins000.exe"
EFNO --> "C:\Program Files\EFNO\uninstall.exe"
FontNav --> MsiExec.exe /I{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}
GDMS3 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0700\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2A50DA50-B77A-4B49-90BA-371A1DD05832}\setup.exe" -l0x19
HASP4 Device Drivers --> C:\WINDOWS\system32\UNWISE.EXE C:\WINDOWS\system32\HDD32.LOG
High Definition Audio Driver Package - KB888111 --> C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe
HijackThis 2.0.2 --> "C:\avz4\123\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
HP Precisionscan Pro 3.1 --> MsiExec.exe /I{6B36DEBF-27D0-4B1E-858D-D397091C6C7D}
InCD EasyWrite Reader (Ahead Software) --> C:\WINDOWS\UNMrw.exe /UNINSTALL
InterVideo FilterSDK --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A15ED800-19FF-11D5-AF7F-0050BA1191E9}\setup.exe"  REMOVEALL
Java 2 Runtime Environment Standard Edition v1.2.2 --> C:\WINDOWS\IsUninst.exe -f"C:\Program Files\JavaSoft\JRE\1.2\Uninst.isu"
JMB36X Raid Configurer --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x19  -removeonly
K-Lite Codec Pack 3.4.5 Full --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Kaspersky Internet Security 7.0 --> MsiExec.exe /I{C774410D-3EF9-4DE7-AC01-332613163ECF}
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MOHAA Breakthrough --> C:\Games\MOHAA Breakthrough\\UnIns.exe
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
My Drivers 3.11 --> C:\PROGRA~1\MYDRIV~1\UNWISE.EXE C:\PROGRA~1\MYDRIV~1\INSTALL.LOG
Nero 6 Ultra Edition --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
Partition Magic 8 Руссификатор --> C:\PROGRA~1\POWERQ~1\PARTIT~1.0\UNWISE.EXE C:\PROGRA~1\POWERQ~1\PARTIT~1.0\INSTALL.LOG
PowerQuest PartitionMagic 8.0 --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{6BE2A4A4-99FB-48ED-AE1E-4E850389F804}
Retouch Pilot 1.10 --> "C:\Program Files\Retouch Pilot\unins000.exe"
RU --> MsiExec.exe /I{01AE68B4-C785-4865-BC7E-78456372BB75}
SANA-2001 --> C:\WINDOWS\uninst.exe -fC:\SANA\DeIsL1.isu  -cC:\SANA\_ISREG32.DLL
Save Flash 4.1 --> C:\Program Files\Save Flash\uninst.exe
Skype™ 3.6 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
SoundMAX --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe" -l0x19  -removeonly
Update Manager --> MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}
VBA --> MsiExec.exe /I{C94E45B0-6AA6-4FB9-9AAE-22085F631880}
VirtualCloneDrive --> "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Program Files\Elaborate Bytes\VirtualCloneDrive"
VobSub v2.23 (Remove Only) --> "C:\Program Files\Gabest\VobSub\uninstall.exe"
Windows Defender --> MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (RUS) --> MsiExec.exe /X{D83A3DFC-8528-4E31-93DC-0A41C477109C}
Windows Workflow Foundation RU Language Pack --> MsiExec.exe /I{1C7ADED3-C371-40DF-A69D-FE0EA73DC394}
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Language Pack 1.0 --> "C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->
XviD MPEG4 Video Codec (remove only) --> "C:\WINDOWS\system32\xvid-uninstall.exe"
ZyXEL OMNI ADSL USB (Annex A / WAN adapter) --> C:\Program Files\ZyXEL\OMNI ADSL USB Wizard\Setup.exe -u


-- Application Event Log -------------------------------------------------------

Event Record #/Type553 / Warning
Event Submitted/Written: 06/03/2008 09:16:16 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type549 / Warning
Event Submitted/Written: 06/03/2008 00:46:38 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type543 / Warning
Event Submitted/Written: 06/02/2008 01:58:34 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type539 / Warning
Event Submitted/Written: 06/02/2008 00:28:28 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.

Event Record #/Type535 / Warning
Event Submitted/Written: 06/01/2008 00:01:14 AM
Event ID/Source: 1524 / Userenv
Event Description:
Windows не удалось выгрузить файл классов из реестра - он используется другими приложениями или службами. Файл будет выгружен когда он не будет использоваться.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type1366 / Warning
Event Submitted/Written: 06/04/2008 10:36:28 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%QQ127 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %QQ127 can't undo changes that you allow.

For more information please see the following:
%QQ1275

        Scan ID: {78DD0FB6-EA0B-42E6-8674-3E97616FB68A}

        User: QQ1\SHVV

        Name: %QQ1271

        ID: %QQ1272

        Severity: 1.1.1593.05

        Category: 1.1.1593.06

        Path Found: %QQ1276

        Alert Type: %QQ1278

        Detection Type: 1.1.1593.02

Event Record #/Type1365 / Warning
Event Submitted/Written: 06/04/2008 10:36:28 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%QQ127 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %QQ127 can't undo changes that you allow.

For more information please see the following:
%QQ1275

        Scan ID: {FDB39F55-49C2-4273-97C8-79B56494FF2A}

        User: QQ1\SHVV

        Name: %QQ1271

        ID: %QQ1272

        Severity: 1.1.1593.05

        Category: 1.1.1593.06

        Path Found: %QQ1276

        Alert Type: %QQ1278

        Detection Type: 1.1.1593.02

Event Record #/Type1364 / Warning
Event Submitted/Written: 06/04/2008 10:36:28 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%QQ127 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %QQ127 can't undo changes that you allow.

For more information please see the following:
%QQ1275

        Scan ID: {07971FA7-AFC2-47F2-8B78-31DD04D0839F}

        User: QQ1\SHVV

        Name: %QQ1271

        ID: %QQ1272

        Severity: 1.1.1593.05

        Category: 1.1.1593.06

        Path Found: %QQ1276

        Alert Type: %QQ1278

        Detection Type: 1.1.1593.02

Event Record #/Type1363 / Warning
Event Submitted/Written: 06/04/2008 10:36:28 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%QQ127 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %QQ127 can't undo changes that you allow.

For more information please see the following:
%QQ1275

        Scan ID: {AC341246-07E6-4441-A196-7720CC6FA462}

        User: QQ1\SHVV

        Name: %QQ1271

        ID: %QQ1272

        Severity: 1.1.1593.05

        Category: 1.1.1593.06

        Path Found: %QQ1276

        Alert Type: %QQ1278

        Detection Type: 1.1.1593.02

Event Record #/Type1362 / Warning
Event Submitted/Written: 06/04/2008 10:36:26 PM
Event ID/Source: 3004 / WinDefend
Event Description:
%QQ127 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer.  Allow changes only if you trust the program or the software publisher. %QQ127 can't undo changes that you allow.

For more information please see the following:
%QQ1275

        Scan ID: {57CF7F9E-4FC5-4197-9654-FB4C74031908}

        User: QQ1\SHVV

        Name: %QQ1271

        ID: %QQ1272

        Severity: 1.1.1593.05

        Category: 1.1.1593.06

        Path Found: %QQ1276

        Alert Type: %QQ1278

        Detection Type: 1.1.1593.02



-- End of Deckard's System Scanner: finished at 2008-06-04 22:38:20 ------------

SHVV 04-06-2008 22:07 818494
Код:
Deckard's System Scanner v20071014.68
Run by SHVV on 2008-06-04 22:35:41
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-06-04 18:35:45 UTC - RP1 - Системная контрольная точка


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as SHVV.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:14, on 04.06.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\SHVV\Рабочий стол\dss.exe
C:\avz4\123\SHVV.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll
O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe"
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm
O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe
O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D703D0F6-8456-4B52-8778-0F7E31171586}: NameServer = 212.19.149.53
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8356 bytes

-- HijackThis Fixed Entries (C:\avz4\123\backups\) -----------------------------

backup-20080531-221852-537 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
backup-20080531-221852-619 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

-- File Associations -----------------------------------------------------------

.bat - batfile - shell\edit\command - C:\Program Files\Bred3\Bred3_2k.exe "%1"
.cmd - cmdfile - shell\edit\command - C:\Program Files\Bred3\Bred3_2k.exe "%1"
.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.inf - inffile - shell\open\command - C:\Program Files\Bred3\Bred3_2k.exe "%1"
.ini - inifile - shell\open\command - notepad.exe %1
.reg - regfile - shell\edit\command - %SystemRoot%\system32\NOTEPAD.EXE "%1"
.txt - txtfile - DefaultIcon - C:\Program Files\Bred3\Bred3_2k.exe,0
.txt - txtfile - shell\open\command - notepad.exe %1


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 snapman (Acronis Snapshots Manager) - c:\windows\system32\drivers\snapman.sys <Not Verified; Acronis; Acronis Snapshot API>
R0 timounter (Acronis TrueImage Backup Archive Explorer) - c:\windows\system32\drivers\timntr.sys <Not Verified; Acronis; TrueImage>
R0 VClone - c:\windows\system32\drivers\vclone.sys <Not Verified; Elaborate Bytes AG; Virtual CloneDrive>
R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
R1 uzezmzaz (AVZ-RK Kernel Driver) - c:\windows\system32\drivers\uzezmzaz.sys <Not Verified; ; AVZ Monitoring Driver>
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R2 Haspnt - c:\windows\system32\drivers\haspnt.sys <Not Verified; Aladdin Knowledge Systems; Windows NT HASP Kernel Device Driver>
R2 tifsfilter (Acronis TrueImage FS Filter) - c:\windows\system32\drivers\tifsfilt.sys <Not Verified; Acronis; TrueImage>
R3 Cap7134 (Cap7134 Capture) - c:\windows\system32\drivers\cap7134.sys <Not Verified; AVerMedia TECHNOLOGIES, Inc.; Philips cap7134>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not Verified; Elaborate Bytes; CloneCD>
R3 ElbyDelay - c:\windows\system32\drivers\elbydelay.sys <Not Verified; Elaborate Bytes AG; CDRTools>
R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>
R3 PhTVTune (Cap7134 TVTuner) - c:\windows\system32\drivers\phtvtune.sys <Not Verified; AVerMedia TECHNOLOGIES, Inc.; AVerMedia TVTuner WDM Driver>

S3 Ad-Watch Connect Filter (Ad-Watch Connect Kernel Filter) - c:\windows\system32\drivers\nsdriver.sys (file missing)
S3 akshasp (Aladdin HASP Key) - c:\windows\system32\drivers\akshasp.sys (file missing)
S3 aksusb (Aladdin USB Key) - c:\windows\system32\drivers\aksusb.sys (file missing)
S3 cmphone (C-Media USB PHONE Device Interface) - c:\windows\system32\drivers\cmphone.sys (file missing)
S3 CnxEtP (Conexant AccessRunner USB ADSL WAN Adapter Filter Driver) - c:\windows\system32\drivers\cnxetp.sys <Not Verified; Conexant; Conexant USB ADSL Modem>
S3 CnxEtU (Conexant AccessRunner USB ADSL Interface Device Driver) - c:\windows\system32\drivers\cnxetu.sys <Not Verified; Conexant; Conexant USB ADSL Modem>
S3 CnxTgN (Conexant AccessRunner USB ADSL WAN Adapter Driver) - c:\windows\system32\drivers\cnxtgn.sys <Not Verified; Conexant Systems Inc.; Conexant AccessRunner ADSL>
S3 EU3_USB (WLAN miniUSB Driver) - c:\windows\system32\drivers\eu3usb.sys (file missing)
S3 gHidPnp (USB Device Enhanced Function Driver) - c:\windows\system32\drivers\ghidpnp.sys (file missing)
S3 gMouPS2 (PS2 Scroll Mouse Device) - c:\windows\system32\drivers\gmoups2.sys (file missing)
S3 gMouUsb (USB Mouse Device Drv) - c:\windows\system32\drivers\gmouusb.sys (file missing)
S3 GMSIPCI - e:\install\gmsipci.sys (file missing)
S3 vmfilter303 - c:\windows\system32\drivers\vmfilter303.sys (file missing)
S3 ZSMC303 (A4TECH PC Camera) - c:\windows\system32\drivers\usbvm303.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

All services whitelisted.


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller
Device ID: PCI\VEN_1969&DEV_1048&SUBSYS_82261043&REV_B0\4&935E26E&0&00E3
Manufacturer: Attansic
Name: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller
PNP Device ID: PCI\VEN_1969&DEV_1048&SUBSYS_82261043&REV_B0\4&935E26E&0&00E3
Service: AtcL001

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Сетевой адаптер 1394
Device ID: V1394\NIC1394\144639811D800
Manufacturer: Microsoft
Name: Сетевой адаптер 1394
PNP Device ID: V1394\NIC1394\144639811D800
Service: NIC1394


-- Scheduled Tasks -------------------------------------------------------------

2008-06-04 22:31:15      330 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job


-- Files created between 2008-05-04 and 2008-06-04 -----------------------------

2008-06-04 01:20:19        0 dr-h----- C:\Documents and Settings\SHVV\Recent
2008-05-30 23:37:43        0 d-------- C:\Documents and Settings\SHVV\Application Data\Mra
2008-05-17 15:38:05        53 --a------ C:\biosinfo
2008-05-17 15:24:06        0 d-------- C:\WINDOWS\NV14282280.TMP
2008-05-17 15:16:25        0 d-------- C:\WINDOWS\nview
2008-05-17 15:16:19    114688 -ra------ C:\WINDOWS\system32\sysinfo.dll <Not Verified; Crystal Dew World; SysInfo>
2008-05-17 15:16:18    200704 -ra------ C:\WINDOWS\system32\WinSys.exe <Not Verified; ; DOT Application>
2008-05-17 15:16:18      9728 -ra------ C:\WINDOWS\system32\sysinfoX64.sys
2008-05-17 15:16:18      8192 -ra------ C:\WINDOWS\system32\sysinfo.sys
2008-05-17 15:16:17    69632 -ra------ C:\WINDOWS\system32\sw24.exe
2008-05-17 15:16:17    208896 -ra------ C:\WINDOWS\system32\sw20.exe <Not Verified; ; sw20 Application>
2008-05-17 15:16:15  1474560 -ra------ C:\WINDOWS\system32\msicpl.dll <Not Verified; MSI; MSI MsiCpl>
2008-05-12 21:09:51    43698 --a------ C:\WINDOWS\system32\xvid-uninstall.exe
2008-05-12 21:09:46        0 d-------- C:\Program Files\AviSynth 2.5
2008-05-12 21:09:26        0 d-------- C:\Program Files\Gabest
2008-05-12 21:09:14        0 d-------- C:\Program Files\AutoGK
2008-05-11 20:25:05        0 d-------- C:\WINDOWS\Prefetch
2008-05-11 20:21:07        0 d-------- C:\WINDOWS\l2schemas
2008-05-11 20:21:06        0 d-------- C:\WINDOWS\system32\ru
2008-05-11 20:21:06        0 d-------- C:\WINDOWS\system32\bits
2008-05-11 20:18:32        0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-10 18:11:03        0 d-------- C:\Program Files\Describer


-- Find3M Report ---------------------------------------------------------------

2008-06-04 22:34:33        0 d-------- C:\Documents and Settings\SHVV\Application Data\Skype
2008-06-04 22:28:13        0 --a------ C:\WINDOWS\TempFile
2008-05-30 23:49:29        0 d-------- C:\Program Files\Movie Maker
2008-05-30 23:43:00        0 d-------- C:\Program Files\CyberLink
2008-05-30 23:39:03        0 d-------- C:\Program Files\SpeedFan
2008-05-30 23:38:31        0 d-------- C:\Program Files\Opera 9.5 beta
2008-05-30 23:38:00        0 d-------- C:\Program Files\Mail.Ru
2008-05-30 23:37:19        0 d-------- C:\Program Files\DeskSpace
2008-05-20 15:11:17        0 d-------- C:\Program Files\ЭФНО НП
2008-05-19 00:21:19    485242 --a------ C:\WINDOWS\system32\perfh019.dat
2008-05-19 00:21:19    84660 --a------ C:\WINDOWS\system32\perfc019.dat
2008-05-18 23:56:00        0 d--h----- C:\Program Files\InstallShield Installation Information
2008-05-18 01:52:59      566 --a------ C:\Documents and Settings\SHVV\Application Data\AutoGK.ini
2008-05-12 10:13:58        0 d-------- C:\Program Files\Acronis
2008-05-12 10:09:41    102400 --a------ C:\WINDOWS\system32\snapapi.dll <Not Verified; Acronis; Acronis Snapshot API>
2008-05-12 10:09:41    37888 --a------ C:\WINDOWS\system32\setupnt.dll <Not Verified; ; Setupnt Dynamic Link Library>
2008-05-11 20:21:36        0 d-------- C:\Program Files\Messenger
2008-05-11 20:18:01        0 d-------- C:\Program Files\Windows NT
2008-05-02 17:34:34        0 d-------- C:\Program Files\НДС НП
2008-05-02 02:08:12        0 d-------- C:\Program Files\NDS
2008-05-02 02:06:48        0 d-------- C:\Program Files\ISID
2008-04-29 15:35:57        0 d-------- C:\Program Files\Новая папка <9B02~1>
2008-04-29 15:35:45        0 d-------- C:\Program Files\ИСИД НП
2008-04-28 20:48:06        10 --a------ C:\WINDOWS\popcinfo.dat
2008-04-21 18:40:28        0 d-------- C:\Documents and Settings\SHVV\Application Data\InstallShield
2008-04-21 18:35:45        0 d-------- C:\Program Files\EFNO
2008-04-21 18:02:52        0 d-------- C:\Program Files\NAT
2008-04-17 00:17:30        0 d-------- C:\Documents and Settings\SHVV\Application Data\skypePM
2008-04-17 00:11:06        0 d-------- C:\Program Files\Skype
2008-04-17 00:11:04        0 d-------- C:\Program Files\Common Files
2008-04-17 00:11:04        0 d-------- C:\Program Files\Common Files\Skype
2008-03-12 13:10:18    633344 -----n--- C:\WINDOWS\system32\gpprefcl.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>

SHVV 04-06-2008 22:08 818495
Код:
-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [18.12.2006 17:34]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\smax4.exe" [13.07.2006 08:12]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [30.10.2006 16:44]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [30.10.2006 16:44]
"CnxDslTaskBar"="C:\Program Files\ZyXEL\OMNI ADSL USB\CnxDslTb.exe" [30.12.2003 22:10]
"ElbyCheckElbyCDFL"="C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [06.12.2001 14:09]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [20.08.2004 14:28]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" [11.08.2005 17:30]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [11.08.2005 17:30]
"CAP3ON"="C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [30.07.2002 13:00]
"BigDog303"="C:\WINDOWS\VM303_STI.exe" []
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [03.11.2006 20:20]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [18.12.2007 01:43]
"BluetoothAuthenticationAgent"="bthprops.cpl" [14.04.2008 20:11 C:\WINDOWS\system32\bthprops.cpl]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [01.06.2006 13:22]
"nwiz"="nwiz.exe" [01.06.2006 13:22 C:\WINDOWS\system32\nwiz.exe]
"SW20"="C:\WINDOWS\system32\sw20.exe" [18.05.2006 05:15]
"SW24"="C:\WINDOWS\system32\sw24.exe" [17.05.2006 06:37]
"NvMediaCenter"="NvMCTray.dll" [01.06.2006 13:22 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 20:10]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [01.02.2008 17:22]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t

C:\Documents and Settings\All Users\ѓ« ў*®Ґ ¬Ґ*о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [02.12.2007 2:05:21]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^SHVV^Главное меню^Программы^Автозагрузка^QuickTV.lnk]
backup=C:\WINDOWS\pss\QuickTV.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro]
"C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs        BthServ
eapsvcs        eaphost
dot3svc        dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
napagent
hkmsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ffbab78-d163-11dc-af23-b893bb35bbdc}]
Auto\command- OSO.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0048cdb-0ef3-11dd-b02f-901acb1901dc}]
Auto\command- OSO.exe
AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe




-- End of Deckard's System Scanner: finished at 2008-06-04 22:38:20 ------------

Pili 05-06-2008 10:11 818874
По логам чисто, в инет пытается выйти какая-то легальная программа, нарушено ассоциирование файлов, но Bred3.0.3 вероятной вы сами ставили, если хотите исправить, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Скопируйте приведенный ниже текст в блокнот и сохраните файл как fix.reg и примените
Код:
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8ffbab78-d163-11dc-af23-b893bb35bbdc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0048cdb-0ef3-11dd-b02f-901acb1901dc}]
или удалите в реестре полностью HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
что из этого не нужно?

SHVV 06-06-2008 00:17 819549
Наверное ничего.

Pili 06-06-2008 08:10 819669
Выполните скрипт
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RemoteRegistry', 4);
end.
Не трогал службу TermService (Службы терминалов), SSDPSRV (Служба обнаружения SSDP), службу Schedule (Планировщик заданий) - у вас там есть запланированное задание, если и их хотите отключить, то ещё скрипт
Код:
begin
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.

SHVV 07-06-2008 23:43 821203
Pili, Спасибо большое за помощь, до последнего совета недошло, так как винда выкинула синий флаг, пришлось убить сутки чтобы без потерь выйти. Все переустановлено, работает, ничего никуда непросится, ХР ставился на чистый, непорочный диск, на него ставился касперский, потом необходимые для захода в сеть драйвера, все регистрировалось, ХР и каспер обновлялись и только тогда ставилось все остальное. В последний момент подключил диск с "синим флагом" скачать ссылки и проверить, вот результат:
обнаружено: потенциально опасное ПО Trojan.generic Процесс: E:\Documents and Settings\SHVV\Local Settings\Temp\is-OHQ5I.tmp\is-C76I0.tmp
Насколько понял из этого может он просился в инет, хотя почему тогда он необнаруживал самим касперским на том диске, вообщем вопрос, в эту тему обязательно зайду, если будут у тебя вопросы отвечу.

Котяра 08-06-2008 00:14 821218
Цитата:
Цитата SHVV
обнаружено: потенциально опасное ПО Trojan.generic Процесс: E:\Documents and Settings\SHVV\Local Settings\Temp\is-OHQ5I.tmp\is-C76I0.tmp »
Для справки: это временные файлы, создаваемые инсталлятором Inno Setup. Процесс установщика "поручает" всю установку им, запуская их.
Хотя в инсталляторе может быть вирус.
Либо вирус назвать себя так.


Время: 13:00.

Время: 13:00.
© OSzone.net 2001-