|
поселился вирус TR/crypt.NSPM.Gen. Сделал Лог - файлы, что с ними делать дальше??
Вложений: 1
Extra.txt
Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6 CPU 0: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz CPU 1: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz Percentage of Memory in Use: 18% Physical Memory (total/avail): 2047.04 MiB / 1659.06 MiB Pagefile Memory (total/avail): 3939.58 MiB / 3647.19 MiB Virtual Memory (total/avail): 2047.88 MiB / 1942.38 MiB A: is Removable (No Media) C: is Fixed (NTFS) - 0.01 GiB total, 0 GiB free. D: is Fixed (NTFS) - 149.04 GiB total, 1.74 GiB free. F: is Removable (FAT) G: is Removable (No Media) H: is CDROM (UDF) \\.\PHYSICALDRIVE0 - ST3160021A - 149.05 GiB - 2 partitions \PARTITION0 (bootable) - Устанавливаемая файловая система - 7.81 MiB - C: \PARTITION1 - Расшир. Win95/98 c расшир. IRQ13 - 149.04 GiB - D: \\.\PHYSICALDRIVE1 - USB2.0 KINGSTON SD0 USB Device - 980.53 MiB - 1 partition \PARTITION0 - 16-битный FAT - 983.94 MiB - F: \\.\PHYSICALDRIVE2 - USB2.0 KINGSTON SD1 USB Device -- Security Center ------------------------------------------------------------- AUOptions is set to notify before download. Windows Internal Firewall is disabled. FirstRunDisabled is set. AntiVirusDisableNotify is set. FirewallDisableNotify is set. UpdatesDisableNotify is set. AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) Disabled Outdated [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Authoriz edApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Author izedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "D:\\Games\\Codemasters\\GRID\\GRID.exe"="D:\\Games\\Codemasters\\GRID\\GRID.exe:*:Enabled:GRID" "D:\\Games\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="D:\\Games\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) " -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=D:\Documents and Settings\All Users.WINDOWS APPDATA=D:\Documents and Settings\SaneK.SANEK-E14FE9204\Application Data CLIENTNAME=Console CommonProgramFiles=D:\Program Files\Common Files COMPUTERNAME=SANEK-E14FE9204 ComSpec=D:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=D: HOMEPATH=\Documents and Settings\SaneK.SANEK-E14FE9204 LOGONSERVER=\\SANEK-E14FE9204 NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=D:\WINDOWS\system32;D:\WINDOWS;D:\WINDOWS\System32\Wbem PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 11, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0f0b ProgramFiles=D:\Program Files PROMPT=$P$G SESSIONNAME=Console SystemDrive=D: SystemRoot=D:\WINDOWS TEMP=D:\DOCUME~1\SANEK~1.SAN\LOCALS~1\Temp TMP=D:\DOCUME~1\SANEK~1.SAN\LOCALS~1\Temp USERDOMAIN=SANEK-E14FE9204 USERNAME=SaneK USERPROFILE=D:\Documents and Settings\SaneK.SANEK-E14FE9204 windir=D:\WINDOWS -- User Profiles --------------------------------------------------------------- SaneK.SANEK-E14FE9204 (admin) -- Add/Remove Programs --------------------------------------------------------- --> D:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL --> D:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL --> D:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL --> D:\WINDOWS\UNNeroShowTime.exe /UNINSTALL --> D:\WINDOWS\UNNeroVision.exe /UNINSTALL --> D:\WINDOWS\UNRecode.exe /UNINSTALL --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf ДубльГИС Иркутск --> "D:\Program Files\2gis\Irkutsk\unins000.exe" Архиватор WinRAR (только удаление) --> D:\Program Files\WinRAR\uninstall.exe Алиен шутер. Начало вторжения --> D:\games\Alawar.ru\Алиен шутер. Начало вторжения\uninstal.exe Веселая ферма --> D:\games\ferma\Alawar.ru\Веселая ферма\uninstal.exe Веселая ферма 2 --> D:\games\Alawar.ru\Веселая ферма 2\Uninstall.exe Снежок. Обеденный переполох --> D:\games\Alawar.ru\Снежок. Обеденный переполох\uninstal.exe Башенки --> D:\Games\Мини-игры\Alawar.ru\Башенки\Uninstall.exe Рататуй --> D:\WINDOWS\IsUninstR.Exe -fD:\games\THQ\DISNEY~1\RATATO~1\DeIsL1.isu -cD:\games\THQ\DISNEY~1\RATATO~1\RATZ_R~1.DLL Построй-ка --> D:\games\Alawar.ru\Построй-ка\Uninstall.exe Adobe Flash Player ActiveX --> D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A80000000002} Attansic Ethernet Utility --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe" -l0x9 -removeonly Attansic L1 Gigabit Ethernet Driver --> rundll32.exe D:\WINDOWS\system32\Attansic\L1\atcInst.dll,AtcUninst D:\WINDOWS\system32\Attansic\L1 x86 1969 1048 L1 Avira AntiVir Personal – Free Antivirus --> D:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE CA AllFusion Process Modeler --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{E7EE469C-E6C6-4762-92ED-90E8406A66EB}\Setup.exe" Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch --> D:\Program Files\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409 Fraps --> "D:\program files\Fraps\uninstall.exe" FTPRush 1.0.0.617 Unicode --> "D:\Program Files\FTPRush\unins000.exe" GRID --> "D:\Program Files\InstallShield Installation Information\{5A0B7BA5-4682-4273-81C2-69B17E649103}\setup.exe" -runfromtemp -l0x0009 -removeonly High Definition Audio Driver Package - KB888111 --> "D:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe" HijackThis 2.0.2 --> "D:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Java(TM) 6 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060} K-Lite Codec Pack 3.8.4 Full RC1 --> "D:\Program Files\K-Lite Codec Pack\unins000.exe" Mail.Ru Агент 5.1 (сборка 2198, для всех пользователей) --> D:\Program Files\Mail.Ru\Agent\magentsetup.exe -uninstalllm Majestic Lighthouse Screensaver 1.3 --> "D:\Program Files\Majestic Lighthouse Screensaver\unins000.exe" Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9} Microsoft Office Visio Professional 2003 --> MsiExec.exe /I{90510409-6000-11D3-8CFE-0150048383C9} Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} MuxaSoft Dialer 4 Final --> "D:\Program Files\MuxaSoft Dialer 4.0\unins000.exe" Nero 7 Ultra Edition --> MsiExec.exe /I{38E0C491-5230-4373-B62E-F1A6E94B1049} NVIDIA Drivers --> D:\WINDOWS\system32\nvuninst.exe UninstallGUI OpenAL --> "D:\Program Files\OpenAL\OalinstGridRelease.exe" /U QIP 2005 Uninstall --> "D:\Program Files\QIP\unqip.exe" Realtek High Definition Audio Driver --> RunDll32 D:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "D:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x19 -removeonly Winamp (remove only) --> "D:\Program Files\Winamp\UninstWA.exe" -- Application Event Log ------------------------------------------------------- Event Record #/Type2572 / Error Event Submitted/Written: 07/26/2008 01:47:15 PM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Сетевое подключение не существует. Event Record #/Type2571 / Error Event Submitted/Written: 07/26/2008 01:47:15 PM Event ID/Source: 8 / crypt32 Event Description: Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом Event Record #/Type2568 / Warning Event Submitted/Written: 07/26/2008 01:40:25 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Crypt.XPACK.GenD:\Documents and Settings\SaneK.SANEK-E14FE9204\Local Settings\Temporary Internet Files\Content.IE5\R4O9ROLS\nadz[1].exe Event Record #/Type2567 / Warning Event Submitted/Written: 07/26/2008 01:40:21 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Crypt.NSPM.GenC:\program.exe Event Record #/Type2566 / Warning Event Submitted/Written: 07/26/2008 01:40:16 PM Event ID/Source: 4113 / Avira AntiVir Event Description: TR/Crypt.NSPM.GenD:\Documents and Settings\SaneK.SANEK-E14FE9204\Local Settings\Temporary Internet Files\Content.IE5\IZ6RQXUJ\x3[2].exe -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type9681 / Error Event Submitted/Written: 07/26/2008 01:36:41 PM Event ID/Source: 7023 / Service Control Manager Event Description: Служба "Службы IPSEC" завершена из-за ошибки %%2 Event Record #/Type9665 / Warning Event Submitted/Written: 07/26/2008 10:48:36 AM Event ID/Source: 11050 / dnscache Event Description: Службе DNS-клиента не удалось связаться ни с одним DNS-сервером за несколько выполненных попыток. В течение следующих 30 секунд служба DNS-клиента не будет использовать сеть, чтобы предотвратить перегрузку сети. Она возобновит свое обычное поведение после истечения этого срока. Если проблема сохранится, проверьте параметры настройки TCP/IP, в особенности, проверьте настройку основного (и, возможно, альтернативного) DNS-сервера. Если проблема сохранится, проверьте состояние сети и наличие связи с этими DNS-серверами или обратитесь к сетевому администратору. Event Record #/Type9648 / Error Event Submitted/Written: 07/26/2008 10:44:09 AM Event ID/Source: 1 / sr Event Description: Произошла неожиданная ошибка фильтра восстановления системы '0xC000007F' при обработке файла 'Desktop.ini' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе. Event Record #/Type9645 / Warning Event Submitted/Written: 07/26/2008 10:18:52 AM Event ID/Source: 11050 / dnscache Event Description: Службе DNS-клиента не удалось связаться ни с одним DNS-сервером за несколько выполненных попыток. В течение следующих 30 секунд служба DNS-клиента не будет использовать сеть, чтобы предотвратить перегрузку сети. Она возобновит свое обычное поведение после истечения этого срока. Если проблема сохранится, проверьте параметры настройки TCP/IP, в особенности, проверьте настройку основного (и, возможно, альтернативного) DNS-сервера. Если проблема сохранится, проверьте состояние сети и наличие связи с этими DNS-серверами или обратитесь к сетевому администратору. Event Record #/Type9630 / Error Event Submitted/Written: 07/26/2008 10:14:25 AM Event ID/Source: 1 / sr Event Description: Произошла неожиданная ошибка фильтра восстановления системы '0xC000007F' при обработке файла 'Desktop.ini' на томе 'HarddiskVolume1'. Это привело к остановке наблюдения на томе. -- End of Deckard's System Scanner: finished at 2008-07-26 13:47:23 ------------ main.txt Deckard's System Scanner v20071014.68 Run by SaneK on 2008-07-26 13:46:34 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 1 Restore Point(s) -- 1: 2008-07-26 04:46:38 UTC - RP250 - Deckard's System Scanner Restore Point Backed up registry hives. Performed disk cleanup. System Drive D: has 1.74 GiB (less than 15%) free. -- HijackThis (run as SaneK.exe) ----------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:47:02, on 26.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\RTHDCPL.EXE D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\PnkBstrA.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Documents and Settings\SaneK.SANEK-E14FE9204\Рабочий стол\Лечение о вируса\dss.exe D:\PROGRA~1\TRENDM~1\HIJACK~1\SaneK.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [KillCopy] D:\Program Files\KillSoft\KillCopy\kcresume.exe /startup O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\document.exe O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: Event Log Watch (LogWatch) - Unknown owner - D:\WINDOWS\LogWatNT.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 6082 bytes -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- All drivers whitelisted. -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Scheduler) - "d:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> S2 LogWatch (Event Log Watch) - d:\windows\logwatnt.exe S3 NBService - d:\program files\nero\nero 7\nero backitup\nbservice.exe -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Files created between 2008-06-26 and 2008-07-26 ----------------------------- 2008-07-26 13:42:54 0 d-------- D:\Program Files\Trend Micro 2008-07-26 12:40:43 0 drahs---- D:\autorun.inf 2008-07-26 10:48:10 0 d-------- D:\Program Files\2gis 2008-07-08 19:43:55 0 dr------- D:\Documents and Settings\LocalService.NT AUTHORITY\Мои документы 2008-07-08 19:43:18 0 d-------- D:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Adobe 2008-07-05 22:42:12 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\ВеселаяФерма2 2008-07-03 23:57:23 0 d-------- D:\Program Files\Avira 2008-07-03 23:57:23 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\Avira 2008-06-26 20:36:13 0 d-------- D:\Documents and Settings\All Users.WINDOWS\Application Data\HipSoft -- Find3M Report --------------------------------------------------------------- 2008-07-05 22:29:41 0 d-------- D:\Program Files\Alawar.ru 2008-07-02 10:14:11 0 d-------- D:\Program Files\QIP 2008-06-25 20:49:56 21907 --a------ D:\WINDOWS\system32\wincab.sys 2008-06-22 23:51:57 0 d-------- D:\Documents and Settings\SaneK.SANEK-E14FE9204\Application Data\Help 2008-06-14 21:06:56 402432 --a------ D:\WINDOWS\system32\killcopy.exe <Not Verified; Killer{R}; KillCopy> 2008-06-14 21:06:56 20992 --a------ D:\WINDOWS\system32\kc.exe 2008-06-14 21:06:56 0 d-------- D:\Program Files\KillSoft 2008-06-08 21:19:41 0 d--h----- D:\Program Files\InstallShield Installation Information 2008-06-07 13:42:21 0 d-------- D:\Program Files\OpenAL 2008-06-03 23:29:31 0 d-------- D:\Program Files\CA 2008-06-03 23:29:16 0 d-------- D:\Program Files\Common Files\InstallShield 2008-05-13 00:27:10 664 --a------ D:\WINDOWS\system32\d3d9caps.dat -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [30.01.2008 17:12] "nwiz"="nwiz.exe" [30.01.2008 17:12 D:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="D:\WINDOWS\system32\NvMcTray.dll" [30.01.2008 17:12] "NeroFilterCheck"="D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [12.01.2006 21:40] "MAgent"="D:\Program Files\Mail.Ru\Agent\MAgent.exe" [07.05.2008 10:27] "RTHDCPL"="RTHDCPL.EXE" [07.05.2008 21:39 D:\WINDOWS\RTHDCPL.exe] "Alcmtr"="ALCMTR.EXE" [04.05.2005 00:43 D:\WINDOWS\Alcmtr.exe] "SunJavaUpdateSched"="D:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [25.03.2008 04:28] "KernelFaultCheck"="D:\WINDOWS\system32\dumprep 0 -k" [] "KillCopy"="D:\Program Files\KillSoft\KillCopy\kcresume.exe" [14.06.2008 21:06] "Advanced DHTML Enable"="C:\document.exe" [] "avgnt"="D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [18.08.2004 21:00] "DAEMON Tools"="D:\Program Files\DAEMON Tools\daemon.exe" [12.11.2006 19:48] D:\Documents and Settings\All Users.WINDOWS\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\ Adobe Reader Speed Launch.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [23.10.2006 6:48:20] Adobe Reader Synchronizer.lnk - D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [23.10.2006 5:01:50] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{15c93784-27b0-11dd-84f8-001bfccf3e84}] auto\command- SVCH0ST.EXE e AutoRun\command- D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SVCH0ST.EXE e [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22f09720-2fbd-11dd-8514-001bfccf3e84}] AutoRun\command- F:\n1deiect.com explore\Command- F:\n1deiect.com open\Command- F:\n1deiect.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a821712-0ab9-11dd-847b-001bfccf3e84}] AutoRun\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe open\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66027d74-4752-11dd-856b-001bfccf3e84}] AutoRun\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe open\command- F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea9462fb-14c6-11dd-84ac-001bfccf3e84}] AutoRun\command- F:\xn1i9x.com explore\Command- F:\xn1i9x.com open\Command- F:\xn1i9x.com [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}] C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe -- End of Deckard's System Scanner: finished at 2008-07-26 13:47:23 ------------ что делать даль незнаю, помогите!! вылечить!! |
сперва в HijackThis пофиксите O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\document.exe
|
S_a_n_e_K, отключите восстановление системы.
AVZ -> меню Файл -> Выполнить скрипт -> выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку Запустить. На время выполнения скрипта отключите антивирус. Код:
beginКод:
beginСудя по ветке MountPoints2, у вас были проблемы с Autorun-вирусами, поэтому примените этот твик реестра для отключения Autorun: Код:
Windows Registry Editor Version 5.00Еще желательно пролечить флешки (файлы Autorun.inf, SVCH0ST.EXE (с нулем в имени), n1deiect.com, ise32.exe, xn1i9x.com). Цитата:
Сделайте новые логи (virusinfo_syscheck.zip, hijackthis.zip из п. 3.4, 3.5 правил). |
| Время: 23:48. |
Время: 23:48.
© OSzone.net 2001-