Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [Решено]Очень интересный вирус (http://forum.oszone.net/showthread.php?t=191063)

SK-93 13-11-2010 04:10 1541454
[Решено]Очень интересный вирус
 
Прочитал множество тем на форуме, не смог найти ответа на свой вопрос.

В общем симптомы такие:

(Windows XP SP3)
*При подключение к интернету процесс winlogon.exe занимает все ресурсы
*Блокируются антивирусные сайты сайты
*Закрывается приложение Malwarebytes' Anti-Malware
*Так же закрывается ComboFix
*В панели управления :> Сетевые подключения невозможно создать подключение или изменить параметры существующего, пишит "Ошибка: 623: Системе не удалось найти запись телефонной книги для этого подключения"
*На рабочем столе и в корне диска C:\ создаются подозрительные файлы *.tmp
*При закрытие процесса explorer.exe он запускается снова...

Написал программку которая уничтожает процесс explorer.exe каждые 200 миллисекунд и мне удалось открыть ComboFix как и Malwarebytes' Anti-Malware

Лог комбофикса:

Цитата:
ComboFix 10-11-12.01 - SJ 13.11.2010 3:51.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.895.681 [GMT 3:00]
Running from: c:\program files\Common Files\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
C:\SERVER.txt
c:\windows\system32\Пузыри.scr
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((( Files Created from 2010-10-13 to 2010-11-13 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe

[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:\windows\system32\wininet.dll

[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-12-26 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BFBA68E-E21B-458E-AE12-FE85E903D2C1}]
2010-08-31 13:15 257384 ----a-w- c:\program files\AlterGeo\AlterGeo Magic Scanner\2.8.8.615\AlterGeo.BrowserPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2009-12-19 819200]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]
"IE8_02"="advpack.dll" [2009-12-26 128512]
"ZZZZ1_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]

c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
ADSL.pbk [2010-11-12 1606]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\akbwofr.exe,"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Reboot.exe]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
backup=c:\windows\pss\Reboot.exeCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ADSL.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ADSL.lnk
backup=c:\windows\pss\ADSL.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Punto Switcher.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Punto Switcher.lnk
backup=c:\windows\pss\Punto Switcher.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ЎЎЎЎЎЎ.lnk
backup=c:\windows\pss\ЎЎЎЎЎЎ.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Запустить War3FT CS2.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Запустить War3FT CS2.lnk
backup=c:\windows\pss\Запустить War3FT CS2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon]
2009-12-11 11:25 287744 -c--a-w- d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
2005-12-06 09:08 20480 ----a-w- c:\windows\FixCamera.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Guard.Mail.ru.gui]
2010-10-23 17:22 992960 ----a-w- c:\program files\Mail.Ru\Guard\GuardMailRu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2007-12-20 08:13 7151616 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2010-10-23 17:22 12317376 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 11:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-10-04 08:14 8491008 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-10-04 08:14 1626112 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
2005-09-05 11:55 339968 ----a-w- c:\windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
2005-11-04 11:05 90112 ----a-w- c:\windows\tsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VistaIcon]
2008-01-02 10:52 132096 ----a-w- c:\program files\VistaDriveIcon\VistaDrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP
"11265:TCP"= 11265:TCP

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [23.10.2010 14:38 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [23.10.2010 14:38 41616]
R2 Guard.Mail.ru;Guard.Mail.ru;c:\program files\Mail.Ru\Guard\GuardMailRu.exe [23.10.2010 20:22 992960]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\drivers\m4cxw2k3.sys [15.02.2007 7:04 250752]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [30.11.2009 11:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [30.11.2009 11:27 110992]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [23.10.2010 14:47 212992]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.10.2010 12:43 691696]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13.11.2010 3:32 38224]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.inet123.ru/
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
Notify-WgaLogon - (no file)
MSConfigStartUp-UIUCU - c:\docume~1\SJ\LOCALS~1\Temp\UIUCU.EXE
AddRemove-HashTab 3.0.0 - c:\windows\system32\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 03:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1348)
c:\windows\system32\cscui.dll
c:\windows\system32\WININET.dll
c:\windows\system32\COMRes.dll
.
Completion time: 2010-11-13 03:56:45
ComboFix-quarantined-files.txt 2010-11-13 00:56

Pre-Run: 1*107*116*032 байт свободно
Post-Run: 1*137*389*568 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

- - End Of File - - D978D6E133EF6C09822CFFCD9E126EFA
Что делать, хелп...

SK-93 13-11-2010 04:22 1541455
Очень интересный вирус
 
Прочитал множество тем на форуме, не смог найти ответа на свой вопрос.

В общем симптомы такие:

(Windows XP SP3)
*При подключение к интернету процесс winlogon.exe занимает все ресурсы
*Блокируются антивирусные сайты сайты
*Закрывается приложение Malwarebytes' Anti-Malware
*Так же закрывается ComboFix
*В панели управления :> Сетевые подключения невозможно создать подключение или изменить параметры существующего, пишит "Ошибка: 623: Системе не удалось найти запись телефонной книги для этого подключения"
*На рабочем столе и в корне диска C:\ создаются подозрительные файлы *.tmp
*При закрытие процесса explorer.exe он запускается снова...

Написал программку которая уничтожает процесс explorer.exe каждые 200 миллисекунд и мне удалось открыть ComboFix как и Malwarebytes' Anti-Malware

Лог комбофикса:

Цитата:
ComboFix 10-11-12.01 - SJ 13.11.2010 3:51.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.895.681 [GMT 3:00]
Running from: c:\program files\Common Files\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
C:\SERVER.txt
c:\windows\system32\Пузыри.scr
c:\windows\system32\uninstall.exe

.
((((((((((((((((((((((((( Files Created from 2010-10-13 to 2010-11-13 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

------- Sigcheck -------

[-] 2009-12-26 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-12-26 . 40120E0F032B37FB3BC64B15E484546C . 80608 . . [7.4.7600.226] . . c:\windows\system32\wuauclt.exe

[-] 2009-12-26 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2009-12-26 . DF3D39434D58565BEE26BDC6452687AB . 1041408 . . [8.00.6001.22945] . . c:\windows\system32\wininet.dll

[-] 2009-12-26 . D1B7919B18903BDB01FA33FC12F23680 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-12-26 . AB778E794E8F39D0D387A440AD356944 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-12-26 . 31F4BCDDA7FE01D70032AB927F0EC6A1 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BFBA68E-E21B-458E-AE12-FE85E903D2C1}]
2010-08-31 13:15 257384 ----a-w- c:\program files\AlterGeo\AlterGeo Magic Scanner\2.8.8.615\AlterGeo.BrowserPlugin.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2009-12-19 819200]
"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-10-04 8491008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2010-04-29 437584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE8_01"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]
"IE8_02"="advpack.dll" [2009-12-26 128512]
"ZZZZ1_FirstLogonSetting"="advpack.dll" [2009-12-26 128512]

c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
ADSL.pbk [2010-11-12 1606]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\system32\akbwofr.exe,"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Reboot.exe]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
backup=c:\windows\pss\Reboot.exeCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ADSL.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ADSL.lnk
backup=c:\windows\pss\ADSL.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Punto Switcher.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Punto Switcher.lnk
backup=c:\windows\pss\Punto Switcher.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\ЎЎЎЎЎЎ.lnk
backup=c:\windows\pss\ЎЎЎЎЎЎ.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^SJ^Главное меню^Программы^Автозагрузка^Запустить War3FT CS2.lnk]
path=c:\documents and settings\SJ\Главное меню\Программы\Автозагрузка\Запустить War3FT CS2.lnk
backup=c:\windows\pss\Запустить War3FT CS2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon]
2009-12-11 11:25 287744 -c--a-w- d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2009-10-30 11:57 369200 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FixCamera]
2005-12-06 09:08 20480 ----a-w- c:\windows\FixCamera.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Guard.Mail.ru.gui]
2010-10-23 17:22 992960 ----a-w- c:\program files\Mail.Ru\Guard\GuardMailRu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2007-12-20 08:13 7151616 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2010-10-23 17:22 12317376 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 11:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-10-04 08:14 8491008 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-10-04 08:14 1626112 ----a-w- c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd3]
2005-09-05 11:55 339968 ----a-w- c:\windows\vsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnpstd3]
2005-11-04 11:05 90112 ----a-w- c:\windows\tsnpstd3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VistaIcon]
2008-01-02 10:52 132096 ----a-w- c:\program files\VistaDriveIcon\VistaDrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2010-07-12 16:32 74752 ----a-w- c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP
"11265:TCP"= 11265:TCP

R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [23.10.2010 14:38 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [23.10.2010 14:38 41616]
R2 Guard.Mail.ru;Guard.Mail.ru;c:\program files\Mail.Ru\Guard\GuardMailRu.exe [23.10.2010 20:22 992960]
R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\drivers\m4cxw2k3.sys [15.02.2007 7:04 250752]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [30.11.2009 11:27 100048]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\drivers\VBoxNetFlt.sys [30.11.2009 11:27 110992]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [23.10.2010 14:47 212992]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [25.10.2010 12:43 691696]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [13.11.2010 3:32 38224]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.inet123.ru/
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
.
- - - - ORPHANS REMOVED - - - -

Toolbar-ITBar7Position - (no file)
HKU-Default-RunOnce-tscuninstall - c:\windows\system32\tscupgrd.exe
Notify-WgaLogon - (no file)
MSConfigStartUp-UIUCU - c:\docume~1\SJ\LOCALS~1\Temp\UIUCU.EXE
AddRemove-HashTab 3.0.0 - c:\windows\system32\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-13 03:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1348)
c:\windows\system32\cscui.dll
c:\windows\system32\WININET.dll
c:\windows\system32\COMRes.dll
.
Completion time: 2010-11-13 03:56:45
ComboFix-quarantined-files.txt 2010-11-13 00:56

Pre-Run: 1*107*116*032 байт свободно
Post-Run: 1*137*389*568 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

- - End Of File - - D978D6E133EF6C09822CFFCD9E126EFA
Что делать, хелп...

zirreX 13-11-2010 12:58 1541658
Добрый день!

Ваши файлы?
Код:
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\akbwofr.exe

Driver::

Folder::


Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"11265:TCP"=-

FileLook::
c:\documents and settings\SJ\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\ADSL.pbk

DirLook::


FCopy::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

SK-93 13-11-2010 15:23 1541746
Вложений: 1
Спасибо, компьютер вылечен :)
Письмо отправил.

zirreX 13-11-2010 15:39 1541763
Лог чистый.
Так это ваши файлы?
Цитата:
Цитата Fedin
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe »
Цитата:
Цитата Fedin
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »
Просканируйте.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

iskander-k 13-11-2010 16:27 1541800
Объединил темы.


Зачем на создавали три одинаковые темы ?

SK-93 13-11-2010 17:02 1541832
Вложений: 1
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe » Происхождение этого файла мне не известно
d:\файлы\Проекты\Troj 93\v1.0\svchоst.exe » Мой файл

Лог Malwarebytes' Anti-Malware прикреплен, OTCleanIt запустил. Еще раз спасибо.

SK-93 13-11-2010 17:05 1541835
Цитата:
Зачем на создавали три одинаковые темы ?

Видимо проблемы с интернетом вчера были, несколько раз нажал "Создать тему" и ничего не произошло, после чего открылась ошибка в опере, вроде 503. как удалить темы не нашел...

zirreX 13-11-2010 17:46 1541861
Цитата:
Цитата SK-93
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe » Происхождение этого файла мне не известно »
Удалите

Смените все важные пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.


Время: 14:53.

Время: 14:53.
© OSzone.net 2001-