1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Решена Как вылечить Windows 7 от kido

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kronos, 10 фев 2010.

Статус темы:
Закрыта.
  1. Kronos
    Оффлайн

    Kronos Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    На форуме нашел вот такую тему: http://safezone.cc/forum/showthread.php?t=491
    Там все хорошо расписано, но только для WinXP.
    У меня установлена Win7 x32 Professional, лиценз. Касперски каждый день в папке ...\system32 находит библиотеку zybuujj.dll, удаляет ее и перезагружает комп. Через несколько часов ситуация повторяется. Полная проверка не помогает. Касперски версии 6.0 для win workstation, лиценз, обновляется каждый день. Win7 тоже обновляется постоянно.
    Рекомендуемые на форуме обновки, предназначены для других версий Windows.
    Что делать?
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    9.859
    Симпатии:
    12.425
    Те инструкции можно применять и для Win7.

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Как использовать ComboFix - Руководство по применению
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



    Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

    UAC включен?

    Утилиты необходимо запускать от имени администратора.
     
    2 пользователям это понравилось.
  3. Kronos
    Оффлайн

    Kronos Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    UAC включен. Сейчас попробую сделать то что вы сказали.

    Добавлено через 28 минут 35 секунд
    ComboFix 10-02-09.03 - ivcprog1 10.02.2010 9:04.1.2 - x86
    Microsoft Windows 7 Профессиональная 6.1.7600.0.1251.7.1049.18.2047.1192 [GMT 2:00]
    Running from: c:\users\ivcprog1\Desktop\ComboFix.exe
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
    c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
    c:\windows\system32\raddrv.dll
    c:\windows\system32\twain_32.dll

    ----- BITS: Possible infected sites -----

    hxxp://192.168.1.206
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_r_server


    ((((((((((((((((((((((((( Files Created from 2010-01-10 to 2010-02-10 )))))))))))))))))))))))))))))))
    .

    2010-02-10 07:01 . 2010-02-10 07:02 -------- d-----w- C:\32788R22FWJFW
    2010-02-09 09:19 . 2010-02-09 09:19 -------- d-----w- c:\windows\Downloaded Installations
    2010-02-08 06:43 . 2010-02-08 06:43 -------- d-----w- c:\program files\Adobe Media Player
    2010-02-08 06:40 . 2010-02-08 06:40 -------- d-----w- c:\program files\Common Files\Adobe AIR
    2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Nero
    2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Common Files\Ahead
    2010-02-04 09:29 . 2010-02-04 09:29 -------- d-----w- c:\program files\AskBarDis
    2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\Foxit
    2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\program files\Foxit Software
    2010-02-04 06:15 . 2010-02-04 06:15 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
    2010-02-03 15:40 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
    2010-02-03 15:40 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
    2010-02-03 15:40 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
    2010-02-03 15:40 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
    2010-02-03 15:40 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
    2010-02-03 15:40 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
    2010-02-03 15:40 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
    2010-02-03 15:40 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
    2010-02-03 15:40 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe
    2010-01-29 12:39 . 2010-01-29 12:39 -------- d-----w- c:\windows\Eurobattle.net
    2010-01-28 12:09 . 2010-01-28 12:09 -------- d-----w- c:\programdata\FLEXnet
    2010-01-28 10:36 . 2010-02-02 07:01 -------- d-----w- c:\program files\Spyder-Pc
    2010-01-28 10:10 . 2010-02-08 06:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Adobe
    2010-01-28 10:04 . 2010-01-28 10:04 -------- d-----w- c:\program files\Common Files\Colasoft Shared
    2010-01-28 10:04 . 2003-03-19 10:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
    2010-01-28 10:04 . 2003-03-19 08:12 1047552 ----a-w- c:\windows\system32\mfc71u.dll
    2010-01-28 10:04 . 2003-02-21 18:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
    2010-01-28 10:01 . 2010-01-28 10:01 -------- d-----w- c:\program files\Bonjour
    2010-01-28 09:57 . 2010-01-28 09:57 -------- d-----w- c:\program files\Common Files\Macrovision Shared
    2010-01-28 09:56 . 2010-02-08 06:43 -------- d-----w- c:\program files\Common Files\Adobe
    2010-01-27 13:10 . 2010-01-27 13:10 -------- d-----w- c:\users\ivcprog1\AppData\Local\1C
    2010-01-27 11:42 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\ElevatedDiagnostics
    2010-01-27 09:00 . 2010-02-10 06:50 -------- d-----w- c:\programdata\Electronic Arts
    2010-01-27 08:56 . 2010-01-27 08:56 -------- d-----w- c:\program files\Electronic Arts
    2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\program files\AGEIA Technologies
    2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\windows\system32\AGEIA
    2010-01-27 07:58 . 2010-01-27 07:58 -------- d-----w- c:\program files\Alcohol Soft
    2010-01-27 07:20 . 2009-10-31 05:45 2614272 ----a-w- c:\windows\explorer.exe
    2010-01-27 07:20 . 2009-10-28 06:17 285696 ----a-w- c:\windows\system32\winlogon.exe
    2010-01-27 07:09 . 2010-01-27 07:09 -------- d-----w- c:\programdata\NVIDIA
    2010-01-27 07:09 . 2009-09-27 21:12 490088 ----a-w- c:\windows\system32\nvuninst.exe
    2010-01-27 06:56 . 2010-01-27 07:56 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
    2010-01-26 14:33 . 2010-02-10 06:00 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\uTorrent
    2010-01-26 14:11 . 2010-01-26 14:11 -------- d-----w- c:\users\ivcprog1\AppData\Local\Monotype Imaging Inc
    2010-01-26 13:44 . 2006-10-26 17:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
    2010-01-26 13:44 . 2006-10-26 17:56 32592 ----a-w- c:\windows\system32\msonpmon.dll
    2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft Works
    2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\windows\PCHEALTH
    2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft.NET
    2010-01-26 13:41 . 2010-01-26 13:41 -------- d-----w- c:\program files\Microsoft Visual Studio 8
    2010-01-26 13:41 . 2010-01-26 14:30 -------- d-----w- c:\users\ivcprog1\AppData\Local\Microsoft Help
    2010-01-26 13:41 . 2010-02-04 06:19 -------- d-----w- c:\programdata\Microsoft Help
    2010-01-26 13:40 . 2010-01-26 13:40 -------- d-----r- C:\MSOCache
    2010-01-26 13:37 . 2004-06-16 13:59 708608 ----a-w- c:\windows\system32\r_server.exe
    2010-01-26 13:37 . 2010-01-26 13:38 -------- d-----w- c:\program files\Radmin
    2010-01-26 11:03 . 2010-01-26 11:03 51728 ----a-w- c:\programdata\Kaspersky Lab\AVP60MP4\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\6.0.4.1212\fssync.dll
    2010-01-26 10:27 . 2010-01-26 11:03 95259 ----a-w- c:\windows\system32\drivers\klick.dat
    2010-01-26 10:27 . 2010-01-26 11:03 108059 ----a-w- c:\windows\system32\drivers\klin.dat
    2010-01-26 10:27 . 2010-02-10 07:10 -------- d-----w- c:\programdata\Kaspersky Lab
    2010-01-26 10:27 . 2010-01-26 10:27 -------- d-----w- c:\program files\Kaspersky Lab
    2010-01-26 09:41 . 2010-01-26 09:56 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\GHISLER
    2010-01-26 08:45 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Diagnostics
    2010-01-26 07:51 . 2010-01-26 07:51 -------- d-----w- c:\users\ivcprog1\AppData\Local\GHISLER
    2010-01-26 06:13 . 2009-09-10 05:52 257024 ----a-w- c:\windows\system32\msv1_0.dll
    2010-01-26 06:12 . 2009-10-29 07:22 2048 ----a-w- c:\windows\system32\tzres.dll
    2010-01-26 06:11 . 2009-10-02 04:06 728648 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
    2010-01-26 06:11 . 2009-09-03 07:04 1320960 ----a-w- c:\windows\system32\CertEnroll.dll
    2010-01-26 06:11 . 2009-08-29 06:54 12625408 ----a-w- c:\windows\system32\wmploc.DLL
    2010-01-26 06:11 . 2009-08-19 07:20 442920 ----a-w- c:\windows\system32\winresume.exe
    2010-01-26 06:11 . 2009-08-19 07:20 507568 ----a-w- c:\windows\system32\winload.exe
    2010-01-26 06:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
    2010-01-26 06:10 . 2009-08-29 06:57 34816 ----a-w- c:\windows\system32\msasn1.dll
    2010-01-26 06:10 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
    2010-01-26 06:10 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
    2010-01-26 06:10 . 2009-07-30 04:44 293888 ----a-w- c:\windows\system32\atmfd.dll
    2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\program files\ICQ6Toolbar
    2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\programdata\ICQ
    2010-01-26 06:02 . 2010-01-26 06:02 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-01-26 06:01 . 2010-02-10 07:02 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\ICQ
    2010-01-26 06:01 . 2010-01-26 06:16 -------- d-----w- c:\program files\ICQ6.5
    2010-01-26 06:00 . 2010-01-26 06:00 -------- d-----w- c:\windows\system32\Macromed
    2010-01-25 14:43 . 2010-01-28 12:13 108824 ----a-w- c:\users\ivcprog1\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-01-25 14:11 . 2010-01-25 14:27 -------- d-----w- c:\users\ivcprog1\AppData\Local\Google
    2010-01-25 13:27 . 2010-01-14 09:12 181120 ------w- c:\windows\system32\MpSigStub.exe
    2010-01-25 12:57 . 2010-01-25 12:57 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\1C
    2010-01-25 12:56 . 2006-11-22 08:01 693760 ----a-w- c:\windows\system32\drivers\hardlock.sys
    2010-01-25 12:56 . 2010-01-25 12:56 6656 ----a-w- c:\windows\system32\haspvdd.dll
    2010-01-25 12:56 . 2010-01-25 12:56 47616 ----a-w- c:\windows\system32\drivers\Haspnt.sys
    2010-01-25 12:56 . 2010-01-25 12:56 383 ----a-w- c:\windows\system32\haspdos.sys
    2010-01-25 12:56 . 2010-01-26 09:41 -------- d-----w- c:\program files\Total Commander
    2010-01-25 12:55 . 2010-01-25 12:55 -------- d-----w- c:\program files\1cv81
    2010-01-25 12:55 . 2010-02-10 06:56 -------- d-sh--w- c:\windows\Installer
    2010-01-25 11:34 . 2010-02-10 07:08 -------- d-----w- c:\windows\system32\wbem\Performance
    2010-01-25 11:23 . 2010-01-25 12:52 -------- d-----w- c:\windows\Panther
    2010-01-25 11:23 . 2010-02-10 07:08 -------- d-----w- C:\Boot

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-02-10 07:08 . 2009-07-14 08:41 674680 ----a-w- c:\windows\system32\perfh019.dat
    2010-02-10 07:08 . 2009-07-14 08:41 128850 ----a-w- c:\windows\system32\perfc019.dat
    2010-01-26 13:43 . 2009-07-14 04:52 -------- d-----w- c:\program files\MSBuild
    2010-01-25 12:55 . 2010-01-25 12:55 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
    2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Шаблоны
    2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Рабочий стол
    2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Главное меню
    2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Избранное
    2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Документы
    2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
    2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp.dll
    2010-01-18 23:29 . 2010-02-10 06:37 365568 ----a-w- c:\windows\system32\secproc_isv.dll
    2010-01-18 23:29 . 2010-02-10 06:37 369152 ----a-w- c:\windows\system32\secproc.dll
    2010-01-18 23:28 . 2010-02-10 06:37 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe
    2010-01-18 23:28 . 2010-02-10 06:37 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
    2010-01-18 23:28 . 2010-02-10 06:37 320512 ----a-w- c:\windows\system32\RMActivate.exe
    2010-01-18 23:28 . 2010-02-10 06:37 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe
    2010-01-08 03:18 . 2010-02-10 06:37 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
    2010-01-08 03:17 . 2010-02-10 06:37 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2009-12-19 09:02 . 2010-02-10 06:37 12288 ----a-w- c:\windows\system32\tsbyuv.dll
    2009-12-19 09:02 . 2010-02-10 06:37 1328640 ----a-w- c:\windows\system32\quartz.dll
    2009-12-19 09:02 . 2010-02-10 06:37 22016 ----a-w- c:\windows\system32\msyuv.dll
    2009-12-19 09:02 . 2010-02-10 06:37 31744 ----a-w- c:\windows\system32\msvidc32.dll
    2009-12-19 09:02 . 2010-02-10 06:37 13312 ----a-w- c:\windows\system32\msrle32.dll
    2009-12-19 09:02 . 2010-02-10 06:37 84480 ----a-w- c:\windows\system32\mciavi32.dll
    2009-12-19 09:02 . 2010-02-10 06:37 50176 ----a-w- c:\windows\system32\iyuv_32.dll
    2009-12-19 09:02 . 2010-02-10 06:37 91648 ----a-w- c:\windows\system32\avifil32.dll
    2009-12-08 11:40 . 2010-02-10 06:37 3955288 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2009-12-08 11:40 . 2010-02-10 06:37 3899464 ----a-w- c:\windows\system32\ntoskrnl.exe
    2009-12-08 11:32 . 2010-02-10 06:37 292864 ----a-w- c:\windows\system32\apphelp.dll
    2009-12-08 08:05 . 2010-02-10 06:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
    2009-12-08 08:05 . 2010-02-10 06:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
    2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
    2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
    2008-11-18 10:58 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

    [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
    [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

    [HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
    [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Google Update"="c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-25 133104]
    "ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-11-16 172792]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
    "AlSrvN"="c:\program files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe" [2009-04-17 53248]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" [2009-09-22 315736]
    "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
    "eurobattlegui"="d:\games\Warcraft III - Frozen Throne\eb.exe" [2009-10-22 757760]
    "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
    "AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

    c:\users\ivcprog1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Create virtual drive for Denwer.lnk - d:\webservers\denwer\Boot.exe [2010-2-8 6656]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [14.09.2009 14:46 21520]
    R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [03.09.2009 16:24 24848]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
    \shell\AutoRun\command - G:\Autorun.exe
    .
    Contents of the 'Scheduled Tasks' folder

    2010-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000Core.job
    - c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23]

    2010-02-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000UA.job
    - c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23]
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://start.icq.com/
    uInternet Settings,ProxyServer = 192.168.1.8:8080
    uInternet Settings,ProxyOverride = *.local;<local>
    IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
    IE: Добавить в Анти-Баннер - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
    TCP: {4685AC67-A916-4267-BCAD-0A2BC98A621D} = 192.168.1.3
    .
    - - - - ORPHANS REMOVED - - - -

    HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe



    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x84A741F8]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
    SecurityProcedure -> 0x84abe4e0
    QueryNameProcedure -> 0x84abe670
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    --------------------- DLLs Loaded Under Running Processes ---------------------

    - - - - - - - > 'lsass.exe'(544)
    c:\program files\Bonjour\mdnsNSP.dll

    - - - - - - - > 'Explorer.exe'(356)
    c:\program files\Microsoft Office\Office12\1049\GrooveIntlResource.dll
    c:\windows\system32\nvshext.dll
    c:\windows\system32\nvapi.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\windows\system32\nvvsvc.exe
    c:\windows\system32\nvvsvc.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\system32\taskhost.exe
    c:\windows\system32\conhost.exe
    c:\users\ivcprog1\AppData\Local\Google\Update\1.2.183.13\GoogleCrashHandler.exe
    c:\windows\system32\sppsvc.exe
    .
    **************************************************************************
    .
    Completion time: 2010-02-10 09:12:25 - machine was rebooted
    ComboFix-quarantined-files.txt 2010-02-10 07:12

    Pre-Run: 183*768*018*944 байт свободно
    Post-Run: 183*805*288*448 байт свободно

    - - End Of File - - 3D5F39C8F287E8A6419F4C259E493844

    Добавлено через 1 минуту 51 секунду
    Немного нагадили ваши утилитки. Потерли хосты в которых были прописаны адреса используемые Денвером. Но если поможет - черт с ними. :)

    Добавлено через 2 минуты 55 секунд
    И еще. После завершения работы Gmer, скопировал содержимое лога от combofix, хотел открыть браузер(Google Chrome) и увидел синий экран на секунду-две, после чего комп ушел на перезагрузку.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    9.859
    Симпатии:
    12.425
    AskBar - сами ставили?

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    File::

    Driver::

    Folder::

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
    FileLook::

    DirLook::
    C:\32788R22FWJF
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Флешки проверяли на присуствие заражения?

    Лог GMER можно увидеть?


    Вот поэтому мы не отключаем восстановление системы. Всегда можно вернуть предыдущее состояние.
     
  5. Kronos
    Оффлайн

    Kronos Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    9.859
    Симпатии:
    12.425
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    G:\Autorun.exe
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
    Folder::
    c:\program files\AskBarDis

     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]

    Не вижу активного заражения.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


    Сетевые шары подключены? Пароль администратора (если учетная запись включена) установлен сложный?
    И все таки я грешу на флешку.

    Добавлено через 2 минуты 38 секунд
    И проверьте систему Kido Killer
     
  7. Kronos
    Оффлайн

    Kronos Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Всё сделал как вы просили.
    OTCleanIt отработал, но результатов никаких не выдал, просто перегрузил комп.
    KK нашел 1 зараженный файл: c:\windows\system32\zybuujj.dn (именно dn а не dll, я ошибся в первом посте), вылечил его. Лог я не нашел. Повторная проверка ничего не дала - все чисто.
    Моя учетная запись входит в домен, имеет права администратора домена, но пароль очень простой. Пароль собственно самой учетной записи Администратор достаточно сложный, состоит из случайного набора букв и цифр.
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    9.859
    Симпатии:
    12.425
    Это утилита для удаления остатков CF в системе.


    Kido имеет базу простых паролей для входа. Измените свой парольна более сложный (буквы + цифры + символы).

    Добавлено через 38 секунд
    Похоже это резервная копия вредоносного файла.
     
    4 пользователям это понравилось.
  9. Kronos
    Оффлайн

    Kronos Активный пользователь

    Сообщения:
    5
    Симпатии:
    0
    Спасибо, последую вашим советам. Посмотрим что получилось. Тему до завтра не закрывайте плз.
     
Статус темы:
Закрыта.

Поделиться этой страницей