Решена Как вылечить Windows 7 от kido

[Kronos]

На форуме нашел вот такую тему: https://safezone.cc/threads/491
Там все хорошо расписано, но только для WinXP.
У меня установлена Win7 x32 Professional, лиценз. Касперски каждый день в папке ...\system32 находит библиотеку zybuujj.dll, удаляет ее и перезагружает комп. Через несколько часов ситуация повторяется. Полная проверка не помогает. Касперски версии 6.0 для win workstation, лиценз, обновляется каждый день. Win7 тоже обновляется постоянно.
Рекомендуемые на форуме обновки, предназначены для других версий Windows.
Что делать?

 

[akok]

Те инструкции можно применять и для Win7.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

UAC включен?

Утилиты необходимо запускать от имени администратора.

 

[Kronos]

UAC включен. Сейчас попробую сделать то что вы сказали.

Добавлено через 28 минут 35 секунд

Спойлер

ComboFix 10-02-09.03 - ivcprog1 10.02.2010 9:04.1.2 - x86
Microsoft Windows 7 Профессиональная 6.1.7600.0.1251.7.1049.18.2047.1192 [GMT 2:00]
Running from: c:\users\ivcprog1\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\raddrv.dll
c:\windows\system32\twain_32.dll

----- BITS: Possible infected sites -----

hxxp://192.168.1.206
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_r_server


((((((((((((((((((((((((( Files Created from 2010-01-10 to 2010-02-10 )))))))))))))))))))))))))))))))
.

2010-02-10 07:01 . 2010-02-10 07:02 -------- d-----w- C:\32788R22FWJFW
2010-02-09 09:19 . 2010-02-09 09:19 -------- d-----w- c:\windows\Downloaded Installations
2010-02-08 06:43 . 2010-02-08 06:43 -------- d-----w- c:\program files\Adobe Media Player
2010-02-08 06:40 . 2010-02-08 06:40 -------- d-----w- c:\program files\Common Files\Adobe AIR
2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Nero
2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Common Files\Ahead
2010-02-04 09:29 . 2010-02-04 09:29 -------- d-----w- c:\program files\AskBarDis
2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\Foxit
2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\program files\Foxit Software
2010-02-04 06:15 . 2010-02-04 06:15 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help
2010-02-03 15:40 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll
2010-02-03 15:40 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe
2010-02-03 15:40 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2010-02-03 15:40 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll
2010-02-03 15:40 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll
2010-02-03 15:40 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2010-02-03 15:40 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll
2010-02-03 15:40 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll
2010-02-03 15:40 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe
2010-01-29 12:39 . 2010-01-29 12:39 -------- d-----w- c:\windows\Eurobattle.net
2010-01-28 12:09 . 2010-01-28 12:09 -------- d-----w- c:\programdata\FLEXnet
2010-01-28 10:36 . 2010-02-02 07:01 -------- d-----w- c:\program files\Spyder-Pc
2010-01-28 10:10 . 2010-02-08 06:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Adobe
2010-01-28 10:04 . 2010-01-28 10:04 -------- d-----w- c:\program files\Common Files\Colasoft Shared
2010-01-28 10:04 . 2003-03-19 10:14 499712 ----a-w- c:\windows\system32\msvcp71.dll
2010-01-28 10:04 . 2003-03-19 08:12 1047552 ----a-w- c:\windows\system32\mfc71u.dll
2010-01-28 10:04 . 2003-02-21 18:42 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-01-28 10:01 . 2010-01-28 10:01 -------- d-----w- c:\program files\Bonjour
2010-01-28 09:57 . 2010-01-28 09:57 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-01-28 09:56 . 2010-02-08 06:43 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-27 13:10 . 2010-01-27 13:10 -------- d-----w- c:\users\ivcprog1\AppData\Local\1C
2010-01-27 11:42 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\ElevatedDiagnostics
2010-01-27 09:00 . 2010-02-10 06:50 -------- d-----w- c:\programdata\Electronic Arts
2010-01-27 08:56 . 2010-01-27 08:56 -------- d-----w- c:\program files\Electronic Arts
2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\program files\AGEIA Technologies
2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\windows\system32\AGEIA
2010-01-27 07:58 . 2010-01-27 07:58 -------- d-----w- c:\program files\Alcohol Soft
2010-01-27 07:20 . 2009-10-31 05:45 2614272 ----a-w- c:\windows\explorer.exe
2010-01-27 07:20 . 2009-10-28 06:17 285696 ----a-w- c:\windows\system32\winlogon.exe
2010-01-27 07:09 . 2010-01-27 07:09 -------- d-----w- c:\programdata\NVIDIA
2010-01-27 07:09 . 2009-09-27 21:12 490088 ----a-w- c:\windows\system32\nvuninst.exe
2010-01-27 06:56 . 2010-01-27 07:56 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-26 14:33 . 2010-02-10 06:00 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\uTorrent
2010-01-26 14:11 . 2010-01-26 14:11 -------- d-----w- c:\users\ivcprog1\AppData\Local\Monotype Imaging Inc
2010-01-26 13:44 . 2006-10-26 17:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll
2010-01-26 13:44 . 2006-10-26 17:56 32592 ----a-w- c:\windows\system32\msonpmon.dll
2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft Works
2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\windows\PCHEALTH
2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft.NET
2010-01-26 13:41 . 2010-01-26 13:41 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2010-01-26 13:41 . 2010-01-26 14:30 -------- d-----w- c:\users\ivcprog1\AppData\Local\Microsoft Help
2010-01-26 13:41 . 2010-02-04 06:19 -------- d-----w- c:\programdata\Microsoft Help
2010-01-26 13:40 . 2010-01-26 13:40 -------- d-----r- C:\MSOCache
2010-01-26 13:37 . 2004-06-16 13:59 708608 ----a-w- c:\windows\system32\r_server.exe
2010-01-26 13:37 . 2010-01-26 13:38 -------- d-----w- c:\program files\Radmin
2010-01-26 11:03 . 2010-01-26 11:03 51728 ----a-w- c:\programdata\Kaspersky Lab\AVP60MP4\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\6.0.4.1212\fssync.dll
2010-01-26 10:27 . 2010-01-26 11:03 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2010-01-26 10:27 . 2010-01-26 11:03 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2010-01-26 10:27 . 2010-02-10 07:10 -------- d-----w- c:\programdata\Kaspersky Lab
2010-01-26 10:27 . 2010-01-26 10:27 -------- d-----w- c:\program files\Kaspersky Lab
2010-01-26 09:41 . 2010-01-26 09:56 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\GHISLER
2010-01-26 08:45 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Diagnostics
2010-01-26 07:51 . 2010-01-26 07:51 -------- d-----w- c:\users\ivcprog1\AppData\Local\GHISLER
2010-01-26 06:13 . 2009-09-10 05:52 257024 ----a-w- c:\windows\system32\msv1_0.dll
2010-01-26 06:12 . 2009-10-29 07:22 2048 ----a-w- c:\windows\system32\tzres.dll
2010-01-26 06:11 . 2009-10-02 04:06 728648 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys
2010-01-26 06:11 . 2009-09-03 07:04 1320960 ----a-w- c:\windows\system32\CertEnroll.dll
2010-01-26 06:11 . 2009-08-29 06:54 12625408 ----a-w- c:\windows\system32\wmploc.DLL
2010-01-26 06:11 . 2009-08-19 07:20 442920 ----a-w- c:\windows\system32\winresume.exe
2010-01-26 06:11 . 2009-08-19 07:20 507568 ----a-w- c:\windows\system32\winload.exe
2010-01-26 06:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll
2010-01-26 06:10 . 2009-08-29 06:57 34816 ----a-w- c:\windows\system32\msasn1.dll
2010-01-26 06:10 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll
2010-01-26 06:10 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll
2010-01-26 06:10 . 2009-07-30 04:44 293888 ----a-w- c:\windows\system32\atmfd.dll
2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\program files\ICQ6Toolbar
2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\programdata\ICQ
2010-01-26 06:02 . 2010-01-26 06:02 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-26 06:01 . 2010-02-10 07:02 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\ICQ
2010-01-26 06:01 . 2010-01-26 06:16 -------- d-----w- c:\program files\ICQ6.5
2010-01-26 06:00 . 2010-01-26 06:00 -------- d-----w- c:\windows\system32\Macromed
2010-01-25 14:43 . 2010-01-28 12:13 108824 ----a-w- c:\users\ivcprog1\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-25 14:11 . 2010-01-25 14:27 -------- d-----w- c:\users\ivcprog1\AppData\Local\Google
2010-01-25 13:27 . 2010-01-14 09:12 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-25 12:57 . 2010-01-25 12:57 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\1C
2010-01-25 12:56 . 2006-11-22 08:01 693760 ----a-w- c:\windows\system32\drivers\hardlock.sys
2010-01-25 12:56 . 2010-01-25 12:56 6656 ----a-w- c:\windows\system32\haspvdd.dll
2010-01-25 12:56 . 2010-01-25 12:56 47616 ----a-w- c:\windows\system32\drivers\Haspnt.sys
2010-01-25 12:56 . 2010-01-25 12:56 383 ----a-w- c:\windows\system32\haspdos.sys
2010-01-25 12:56 . 2010-01-26 09:41 -------- d-----w- c:\program files\Total Commander
2010-01-25 12:55 . 2010-01-25 12:55 -------- d-----w- c:\program files\1cv81
2010-01-25 12:55 . 2010-02-10 06:56 -------- d-sh--w- c:\windows\Installer
2010-01-25 11:34 . 2010-02-10 07:08 -------- d-----w- c:\windows\system32\wbem\Performance
2010-01-25 11:23 . 2010-01-25 12:52 -------- d-----w- c:\windows\Panther
2010-01-25 11:23 . 2010-02-10 07:08 -------- d-----w- C:\Boot

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-10 07:08 . 2009-07-14 08:41 674680 ----a-w- c:\windows\system32\perfh019.dat
2010-02-10 07:08 . 2009-07-14 08:41 128850 ----a-w- c:\windows\system32\perfc019.dat
2010-01-26 13:43 . 2009-07-14 04:52 -------- d-----w- c:\program files\MSBuild
2010-01-25 12:55 . 2010-01-25 12:55 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf
2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Шаблоны
2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Рабочий стол
2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Главное меню
2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Избранное
2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Документы
2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll
2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp.dll
2010-01-18 23:29 . 2010-02-10 06:37 365568 ----a-w- c:\windows\system32\secproc_isv.dll
2010-01-18 23:29 . 2010-02-10 06:37 369152 ----a-w- c:\windows\system32\secproc.dll
2010-01-18 23:28 . 2010-02-10 06:37 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe
2010-01-18 23:28 . 2010-02-10 06:37 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe
2010-01-18 23:28 . 2010-02-10 06:37 320512 ----a-w- c:\windows\system32\RMActivate.exe
2010-01-18 23:28 . 2010-02-10 06:37 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe
2010-01-08 03:18 . 2010-02-10 06:37 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-01-08 03:17 . 2010-02-10 06:37 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-12-19 09:02 . 2010-02-10 06:37 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-19 09:02 . 2010-02-10 06:37 1328640 ----a-w- c:\windows\system32\quartz.dll
2009-12-19 09:02 . 2010-02-10 06:37 22016 ----a-w- c:\windows\system32\msyuv.dll
2009-12-19 09:02 . 2010-02-10 06:37 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-19 09:02 . 2010-02-10 06:37 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-19 09:02 . 2010-02-10 06:37 84480 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-19 09:02 . 2010-02-10 06:37 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-19 09:02 . 2010-02-10 06:37 91648 ----a-w- c:\windows\system32\avifil32.dll
2009-12-08 11:40 . 2010-02-10 06:37 3955288 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 11:40 . 2010-02-10 06:37 3899464 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 11:32 . 2010-02-10 06:37 292864 ----a-w- c:\windows\system32\apphelp.dll
2009-12-08 08:05 . 2010-02-10 06:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-08 08:05 . 2010-02-10 06:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 10:58 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-25 133104]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-11-16 172792]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928]
"AlSrvN"="c:\program files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe" [2009-04-17 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" [2009-09-22 315736]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"eurobattlegui"="d:\games\Warcraft III - Frozen Throne\eb.exe" [2009-10-22 757760]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

c:\users\ivcprog1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Create virtual drive for Denwer.lnk - d:\webservers\denwer\Boot.exe [2010-2-8 6656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [14.09.2009 14:46 21520]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [03.09.2009 16:24 24848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
\shell\AutoRun\command - G:\Autorun.exe
.
Contents of the 'Scheduled Tasks' folder

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000Core.job
- c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23]

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000UA.job
- c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyServer = 192.168.1.8:8080
uInternet Settings,ProxyOverride = *.local;<local>
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Добавить в Анти-Баннер - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
TCP: {4685AC67-A916-4267-BCAD-0A2BC98A621D} = 192.168.1.3
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe



**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x84A741F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x84abe4e0
QueryNameProcedure -> 0x84abe670
user & kernel MBR OK

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(544)
c:\program files\Bonjour\mdnsNSP.dll

- - - - - - - > 'Explorer.exe'(356)
c:\program files\Microsoft Office\Office12\1049\GrooveIntlResource.dll
c:\windows\system32\nvshext.dll
c:\windows\system32\nvapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\users\ivcprog1\AppData\Local\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Completion time: 2010-02-10 09:12:25 - machine was rebooted
ComboFix-quarantined-files.txt 2010-02-10 07:12

Pre-Run: 183*768*018*944 байт свободно
Post-Run: 183*805*288*448 байт свободно

- - End Of File - - 3D5F39C8F287E8A6419F4C259E493844

Добавлено через 1 минуту 51 секунду
Немного нагадили ваши утилитки. Потерли хосты в которых были прописаны адреса используемые Денвером. Но если поможет - черт с ними.

Добавлено через 2 минуты 55 секунд
И еще. После завершения работы Gmer, скопировал содержимое лога от combofix, хотел открыть браузер(Google Chrome) и увидел синий экран на секунду-две, после чего комп ушел на перезагрузку.

 

[akok]

AskBar - сами ставили?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
FileLook::

DirLook::
C:\32788R22FWJF

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Флешки проверяли на присуствие заражения?

Лог GMER можно увидеть?

Немного нагадили ваши утилитки. Потерли хосты в которых были прописаны адреса используемые Денвером. Но если поможет - черт с ними.

Вот поэтому мы не отключаем восстановление системы. Всегда можно вернуть предыдущее состояние.

 

[Kronos]

AskBar не ставил.
Флешку не проверял, полагаюсь на Каспера при работе с флешкой.
вот логи:
Посмотреть вложение ComboFix.rar
Посмотреть вложение gmer.rar

 

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
G:\Autorun.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}]
Folder::
c:\program files\AskBarDis

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Не вижу активного заражения.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Сетевые шары подключены? Пароль администратора (если учетная запись включена) установлен сложный?
И все таки я грешу на флешку.

Добавлено через 2 минуты 38 секунд
И проверьте систему Kido Killer

 

[Kronos]

Всё сделал как вы просили.
OTCleanIt отработал, но результатов никаких не выдал, просто перегрузил комп.
KK нашел 1 зараженный файл: c:\windows\system32\zybuujj.dn (именно dn а не dll, я ошибся в первом посте), вылечил его. Лог я не нашел. Повторная проверка ничего не дала - все чисто.
Моя учетная запись входит в домен, имеет права администратора домена, но пароль очень простой. Пароль собственно самой учетной записи Администратор достаточно сложный, состоит из случайного набора букв и цифр.

 

[akok]

OTCleanIt

Это утилита для удаления остатков CF в системе.

Моя учетная запись входит в домен, имеет права администратора домена, но пароль очень простой.

Kido имеет базу простых паролей для входа. Измените свой парольна более сложный (буквы + цифры + символы).

Добавлено через 38 секунд

c:\windows\system32\zybuujj.dn

Похоже это резервная копия вредоносного файла.

 

[Kronos]

Спасибо, последую вашим советам. Посмотрим что получилось. Тему до завтра не закрывайте плз.