Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Снова Autorun.inf (http://forum.oszone.net/showthread.php?t=128147)

Dokas 09-01-2009 12:42 1001429

Снова Autorun.inf
 
Опять в системе ХР появился Autorun.inf, что только не делал, отключил автозагрузку, лечил разными прогами не могу вывести из системы. Переустанавливать не могу, на компе вертится прокси всей фирмы. Вставляю читую флэшку и он пишется в нее через несколько секунд. Удаляю в Farе опять появляется через несколько секунд. Каспер 8-й его не видит, так как система заражена. А вот на чистой системе каспер его ловит. Система тормозит, медлено открываются сетевые диски, больше ничего не замечаю. Подскажите, где он лежит, как с ним справиться?

Blast 09-01-2009 12:43 1001430

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Dokas 09-01-2009 12:50 1001438

Через несколько минут выложу

intranet 09-01-2009 13:48 1001509

Цитата:

Цитата Dokas
Autorun.inf »

создай с таким именем папку Autorun.inf и все.
Я себе так зделал на флэшке теперь не какой авторан не лезит как уже 2 месяца :)

Dokas 09-01-2009 14:15 1001538

Немогу найти логи AVZ, программа отсканировала, но ничего не нашла. Если не можете помочь, удаляйте тему.

intranet, дело не в том что она пишет во флэшку, а втом что система тормозит.

Dokas 09-01-2009 15:00 1001578

Просканировал еще раз AVZ что -то нашел, скоро выложу логи.

Dokas 09-01-2009 16:27 1001654

Логи прикрепил, помогите.

Pili 09-01-2009 18:17 1001775

Dokas, Здравствуйте. Не хватает лога hijackthis
Проверьте файлы
C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys
На virustotal.com или virscan.org, ссылку на рез-т проверки выложите.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe','');
 DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и сделайте лог hijackthis

Dokas 09-01-2009 20:59 1001972

Ок, постараюсь все сделать завтра на работе. Хотя не совсем понял как сделать лог hijackthis. Автозапуск у меня отключен и давно, даже не знаю как могло произойти заражение. Большое спасибо за вашу работу.

Pili 09-01-2009 21:27 1001990

Цитата:

Цитата Dokas
Хотя не совсем понял как сделать лог hijackthis »

Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". С блокноте откроется файл, запакуйте его и вложите в сообщение или выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)

Dokas 10-01-2009 08:40 1002306

Вложений: 1
Прикрепил, ща буду чистить.

Dokas 10-01-2009 08:46 1002310

Цитата:

Цитата Pili
C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys »

Такие файлы по указанному пути не нашел.

Dokas 10-01-2009 09:43 1002349

Повторный

Pili 10-01-2009 12:43 1002485

Цитата:

Цитата Dokas
Такие файлы по указанному пути не нашел. »

Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
 DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
 DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
 DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
 DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {CF272101-7F6E-4CF2-9453-B4C5D2FC32C0} - (no file)

WinPcap рекомендую деинсталлировать, если не требуется для работы.
Проблемы ещё наблюдаются?

Dokas 10-01-2009 14:14 1002592

Цитата:

Цитата Pili
Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\cctrlu.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\cctrlu.sys');
DeleteFile('C:\Program Files\\Outlook Express\setup50.exe');
DelCLSID('44BBA840-CC51-11CF-AAFA-00AA00B6015C');
DelCLSID('7790769C-0471-11d2-AF11-00C04FA35D02');
DeleteService('cctrlu0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. »

Показ скрытых файлов конечно включен, но их нет. AVZ их тоже не видит.
Запускать этот скрипт в AVZ?
Проблема с Autoranом решилась, а вот открытие сетевых дисков что то смущает. Периодически открытие сетевых дисков подвисает секунд на 5-10. Может это уже не вирус? Может это другие проблеммы в сети?

Pili 10-01-2009 19:07 1002974

Цитата:

Цитата Dokas
Запускать этот скрипт в AVZ? »

На ваше усмотрение, скрипт просто почистит реестр, раз файлов нет.
Цитата:

Цитата Dokas
Может это другие проблеммы в сети? »

Может. Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети.

Dokas 10-01-2009 20:13 1003079

Цитата:

Цитата Pili
Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети. »

Пошел по ссылке, скачал утилитку, но не понял её предназначение, что она фиксит?

Pili 10-01-2009 21:50 1003180

Сбрасывает настройки Winsock

Dokas 12-01-2009 18:10 1005254

Выполнил все ваши рекомендации. Вот что заметил:
1.при создании новой папки на сетевом диске система подвисает секунд на пять (это только первый раз, когда заходишь на этот диск, потом папки создаются на ура) затем папка создается и все работает.
2.В диспетчере задач пропали имена пользователей от кого запущена служба или программа, показывает только "бездействие системы" запущено от SYSTEM, остальные процессы - пустое имя пользователя. Это похоже на действия вируса.
Как это исправить?

Dokas 12-01-2009 18:29 1005275

Да, и еще чуть не забыл, так же долго открываются вордовские файлы с сетевых дисков (секунд 10). Сетевые диски это файловый сервер на Win Server2003. Раньше такого не было, подскажите, что сделать?

Pili 12-01-2009 20:19 1005452

Dokas, ок, давайте попробуем провериться другими утилитами.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, LOP Check и Purity Check. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Dokas 13-01-2009 11:32 1006082

Просканировал, вот лог:
Malwarebytes' Anti-Malware 1.32
Версия базы данных: 1647
Windows 5.1.2600 Service Pack 3

13.01.2009 10:30:57
mbam-log-2009-01-13 (10-30-57).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 190602
Прошло времени: 1 hour(s), 15 minute(s), 34 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 2
Заражено файлов: 8

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Server2003\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

С остальными утилитками разберусь позднее, в не рабочее время.

Dokas 13-01-2009 12:25 1006144

Вложений: 1
Это лог GMER

Dokas 13-01-2009 12:41 1006160

Вложений: 1
Лог OTListIt

Dokas 13-01-2009 14:32 1006295

ComboFix 09-01-11.04 - Admin 2009-01-13 13:25:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1379 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\The Bat!\thebat.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 09:10 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 11:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 11:27 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 11:27 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 11:27 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 11:27 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 11:26 --------- d-----w c:\program files\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 09:31 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2009-01-05 13:06 --------- d-----w c:\program files\ATS Manager
2008-12-30 12:24 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2008-12-30 09:47 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2008-10-13 04:15 243 ----a-w c:\documents and settings\Admin\Application Data\fieryads.dat
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2007-02-26 1254912]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 avgntdw;avgntdw;\??\c:\program files\AVWin\AVGNTDW.SYS --> c:\program files\AVWin\AVGNTDW.SYS [?]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184721d2-d183-11dd-8dd4-001c250cfceb}]
\SHelL\AuToPlAy\CommaNd - F:\utvv.cmd
\SHelL\AutoRun\command - F:\utvv.cmd
\SHelL\EXploRe\cOmmand - F:\utvv.cmd
\SHelL\OPeN\comMand - F:\utvv.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c4-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c6-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Windows Sidebar]
c:\windows\system32\hidec /W c:\program files\Windows Sidebar\VAIO\Tools\REGTLIB.EXE "c:\program files\Windows Sidebar\sidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{34A19196-274E-4D75-9D30-D7A45A0A4178}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s wlsrvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B9228DA-9C15-419e-856C-19E768A13BDC}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s sbdrop.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{BADA65A0-86B7-462B-B720-CE66655C73F5}]
regsvr32 /s c:\program files\Windows Sidebar\VAIO\.\vshellext.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-thebat_startup - c:\program files\The Bat!\thebat.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 13:28:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
c:\program files\Opera\opera.exe
c:\windows\system32\taskmgr.exe
c:\program files\Remote Desktop\mstsc.exe
.
**************************************************************************
.
Completion time: 2009-01-13 13:30:32 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 11:30:29

Pre-Run: 19*561*193*472 байт свободно
Post-Run: 19,446,792,192 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

219

Pili 13-01-2009 15:46 1006351

Логи надо было по порядку делать, как написано в посте 21, The Bat по видимому придется переустанавливать.
У файлов
Цитата:

c:\windows\system32\user32.dll
c:\windows\system32\wininet.dll
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\explorer.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\wuauclt.exe
не сошлись сигнатуры, скорее всего вы используете какую-то сборку и не устанавливали официальный WindowsXP SP3
проверьте на virustotal.com
Цитата:

c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\wininet.dll
можете проверить и другие файлы из вышеперечисленных,
SmallProxy требуется? Windows Sidebar и VistaDriveIcon можете удалить, если не сильно нужны.
У вас также остались службы
avgntdw
AntiVirMailService
AVEService
AVWUpSrv
и папка c:\program files\AVWin\
можете удалить эти службы (напр. sc stop avgntdw и sc delete avgntdw) и папку, если деинсталлировали (рекомендуется) антивирус (у вас уже есть KAV 2009)
Удалите файлы из папок C:\WINDOWS\Temp\, %userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ и %userprofile%\Local Settings\Temp, очистите корзину, можете очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:

File::
c:\documents and settings\Admin\Application Data\fieryads.dat
C:\WINDOWS\System32\ezsidmv.dat
F:\utvv.cmd
F:\tbubzt.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184721d2-d183-11dd-8dd4-001c250cfceb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c4-c1d9-11dd-8dbb-001c250cfceb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c6-c1d9-11dd-8dbb-001c250cfceb}]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Dokas 13-01-2009 16:13 1006373

http://www.virustotal.com/ru/analisi...2b103ec41f823f
http://www.virustotal.com/ru/analisi...d6265193c9a1c3
http://www.virustotal.com/ru/analisi...0965a4801a8ce1

Dokas 13-01-2009 16:39 1006406

ComboFix 09-01-11.04 - Admin 2009-01-13 15:26:52.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1287 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point

FILE ::
c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat
F:\tbubzt.exe
F:\utvv.cmd
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat

.
((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 13:28 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 13:28 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 13:28 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 13:28 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 13:19 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2009-01-13 13:15 --------- d-----w c:\program files\Windows Sidebar
2009-01-13 12:19 --------- d-----w c:\program files\ATS Manager
2009-01-13 12:18 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2009-01-13 11:52 --------- d-----w c:\program files\The Bat!
2009-01-13 11:52 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2009-01-13_13.29.53.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2009-01-13 11:28:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-01-13 13:29:48 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Cghtme.exe
+ 2008-08-07 13:26:56 10,240 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\cliptext.exe
+ 2008-08-07 13:27:00 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\download.exe
+ 2008-08-07 13:27:08 157,696 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\ERUNT.EXE
+ 2008-08-07 13:27:10 27,136 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\FixPath.exe
+ 2008-08-07 13:27:12 80,412 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\grep.exe
+ 2008-08-07 13:27:14 33,280 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\isadmin.exe
+ 2003-12-08 22:31:00 11,254 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\locate.com
+ 2008-08-07 13:27:16 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\LS.exe
+ 2008-08-07 13:27:16 6,656 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\MD5File.exe
+ 2008-08-07 13:27:16 38,400 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\moveex.exe
+ 2008-08-07 13:27:18 53,248 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Process.exe
+ 2008-08-07 13:27:20 16,414 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\procs.exe
+ 2008-08-07 13:27:20 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\psservice.exe
+ 2008-08-07 13:27:22 146,432 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\regedit.exe
+ 2008-08-07 13:27:22 4,080 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\beep.sys
+ 2003-06-19 09:05:04 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.com
+ 2008-08-21 07:45:48 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.PIF
+ 2008-08-07 13:27:22 2,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\null.sys
+ 2008-08-07 13:27:24 4,224 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\beep.sys
+ 2001-08-18 10:00:00 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.com
+ 2008-08-21 07:45:42 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.PIF
+ 2008-08-07 13:27:24 2,944 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\null.sys
+ 2008-08-07 13:27:26 8,192 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\RestartIt!.exe
+ 2008-08-07 13:27:28 31,232 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sc.exe
+ 2008-08-07 13:27:28 98,816 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sed.exe
+ 2008-08-07 13:27:30 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\SF.exe
+ 2008-08-07 13:27:30 19,456 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\shutdown.exe
+ 2008-08-07 13:27:36 278,016 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Swreg.exe
+ 2008-08-07 13:27:38 40,960 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\swsc.exe
+ 2008-09-16 17:17:22 204,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\UnRAR.exe
+ 2008-08-07 13:27:42 167,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\unzip.exe
+ 2008-08-07 13:27:44 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\vfind.exe
+ 2008-08-07 13:27:44 41,472 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\WINMSG.EXE
+ 2008-08-07 13:27:46 126,976 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\zip.exe
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\catchme.exe
+ 2008-10-08 21:41:44 11,932 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\DBFix.bat
+ 2008-11-05 22:58:41 964,661 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\RunThis.bat
- 2009-01-13 11:26:24 169,787 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
+ 2009-01-13 13:25:48 169,896 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
- 2009-01-13 11:26:24 3,632 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
+ 2009-01-13 11:34:26 3,535 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
- 2009-01-13 11:26:24 1,145,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
+ 2009-01-13 13:23:26 1,144,119 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
- 2008-12-30 09:57:46 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
+ 2009-01-13 12:28:43 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
- 2009-01-13 11:25:42 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
+ 2009-01-13 13:26:55 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
- 2009-01-13 11:26:45 4,718,592 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
+ 2009-01-13 13:28:14 4,345,856 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
- 2004-12-13 05:20:04 6,995 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 12:29:41 7,014 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 13:29:46 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7d4.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:30:16
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(6600)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
.
**************************************************************************
.
Completion time: 2009-01-13 15:31:53 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 13:31:49
ComboFix2.txt 2009-01-13 11:30:34

Pre-Run: 19,349,405,696 байт свободно
Post-Run: 19,327,873,024 байт свободно

254

Pili 13-01-2009 17:43 1006473

Службы от c:\program files\AVWin\ остались, а так по логам чисто.
Проблемы ещё наблюдаются?

Dokas 13-01-2009 18:15 1006500

Цитата:

Цитата Pili
Службы от c:\program files\AVWin\ остались, а так по логам чисто.
Проблемы ещё наблюдаются? »

AVWin даже папки нет, как может работать служба?
Проблемы теже, в диспетчере задач нет имен пользователей от кого запущена служба или программа. И по сети проблемы остались.
Подскажите, может это вирусы на файловом сервере?(имею ввиду проблеммы с открытие файлов из сетевых дисков). Может его посканить? Подскажите какими утилитами?

Pili 13-01-2009 18:59 1006541

Цитата:

Цитата Dokas
AVWin даже папки нет, как может работать служба? »

Я разве говорил что работают? Я написал что Службы от c:\program files\AVWin\ остались, возможно это остатки (мусор) в реестре
Цитата:

Цитата Pili
avgntdw
AntiVirMailService
AVEService
AVWUpSrv
и папка c:\program files\AVWin\
можете удалить эти службы (напр. sc stop avgntdw и sc delete avgntdw) »

Цитата:

Цитата Dokas
в диспетчере задач нет имен пользователей от кого запущена служба или программа »

Это не вирусная проблема - дипетчер задач - вид - выберите что будет отображаться.
Дважды нажать мышкой на верхней панели окна диспетчера задач пробовали?
Цитата:

Цитата Pili
Windows Sidebar и VistaDriveIcon можете удалить, если не сильно нужны »

Эти программы тоже могут влиять, т.к. меняют внешний вид и многое другое. Вы пробовали удалить?
Попробуте применить твик реестра
Код:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager]

Сохраните перед этим ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager

Цитата:

Цитата Dokas
И по сети проблемы остались »

winsockfix пробовали применять? На других раб. станциях та же проблема? Сетевую карту пробовали менять или драйвера переустанавливать? К админу сети обращались? Сеть на предмет потери пакетов и коллизий тестировали? Порт/коммутатор тестировали, провода пробовали переобжимать? Фаервол (в антивирусах KAV/KIS он тоже есть) пробовали настраивать? В разделе Сетевые технологии пробовали смотреть/искать/спрашивать?

Dokas 13-01-2009 23:10 1006817

Pili, Спасибо за помощь. На других раб. станциях та же проблема по сети (первый раз обращение к сетевому диску около 10сек потом нормально), завтра буду разбираться дальше. А в диспечере задач выбраны галочки по умолчанию, в том числе и имя пользователя, но не отображает. Подозреваю на прокси сервер SmallProxy, так как другие программы, в том числе и перечисленные вами, стоят на всех рабочих станциях и с диспетчером проблем нет. Еще раз огромное спасибо.

Pili 13-01-2009 23:25 1006839

Dokas, Пожалуйста. твик реестра пробовали применить? Поиском по форуму по ключ. словам "Диспетчер задач" пробовали воспользоваться? Напр. в теме
Диспетчер задач (Task Manager) смотрели?

Dokas 14-01-2009 08:15 1007029

Pili, Твик применять не пробовал, не знаю как это сделать. Остальное буду читать.

Pili 14-01-2009 08:44 1007048

Код:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager]

Сохраните текст как fix.reg и примените или воспользуйтесь готовым reg файлом

Dokas 14-01-2009 08:56 1007053

Пробовал не помогло. С вашей помощью прочел ветку
Цитата:

Цитата Pili
Диспетчер задач (Task Manager) »

помгло включение службы терминалов. Теперь не знаю как и быть, что выбрать? пользователей в диспетчере задач или отключение службы терминалов, ведь это небезопасная служба. Вам огромное спасибо. Теперь буду разбираться с сетью.

Pili 14-01-2009 10:51 1007154

Цитата:

Цитата Dokas
отключение службы терминалов, ведь это небезопасная служба »

Её вполне безопасно можно использовать, если настроить фаервол.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"
Дополнительно можете протестировать/настроить безопасность с помощью Belarc Advisor доп. см. здесь

Dokas 14-01-2009 10:57 1007162

Ок, спасибо вам и всем админам за то, что есть такой прекрасный форум.

Pili 14-01-2009 10:59 1007164

Пожайлуйста, обращайтесь, если будут проблемы с вирусами на этом или другом компьютере.
Чистого вам интернета!
Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил


Время: 23:39.

Время: 23:39.
© OSzone.net 2001-