Парсер логов GMER [версия Drongo]

Парсер логов gmer [версия drongo] 4.52 - 12.11.2016

Нет прав для скачивания
Код:
obvious
Ещё одно добавление во внутренний список исключений. Кто пользуется - обновитесь. Если обновляться влом, добавьте имя службу в открытый список - LegalService.txt

Архив обновлён - 29.06.2010
 
Обновились. Добавил обработку, когда в логе Service записана в нижнем регистре. Случай редкий, всплыл недавно, за выявленый баг отдельное спасибо thyrex
Код:
Reg HKLM\SYSTEM\CurrentControlSet\[B][COLOR="Red"]services[/COLOR][/B]\kplsv\Parameters
 
Сделал откат на предыдущую версию 2011.02.01, в последней от 2011.06.10 был некритичный, но неприятный баг. Кто использовал последнюю версию, пожалуйста, пока используйте версию от 2011.02.01. Исправления ведутся.

Спасибо.
 
Drongo, Лог

.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00B42510
.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00B41D10
.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WS2_32.dll!send 71A94C27 5 Bytes JMP 00B47250
.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00B42160
.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00B420A0
.text C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00B423A0
.text C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00B46390
.text C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00B46640
.text C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00B453D0
.text C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00B45300
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00B411C0
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00B41290
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00B42570
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00B41000
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00B410A0
.text C:\WINDOWS\system32\ctfmon.exe[228] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00B42510
.text C:\WINDOWS\system32\ctfmon.exe[228] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00B41D10
.text C:\WINDOWS\system32\ctfmon.exe[228] WS2_32.dll!send 71A94C27 5 Bytes JMP 00B47250
.text C:\WINDOWS\system32\ctfmon.exe[228] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00B42160
.text C:\WINDOWS\system32\ctfmon.exe[228] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00B420A0
.text C:\WINDOWS\system32\ctfmon.exe[228] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00B423A0
.text C:\WINDOWS\system32\csrss.exe[680] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 010B6390
.text C:\WINDOWS\system32\csrss.exe[680] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 010B6640
.text C:\WINDOWS\system32\csrss.exe[680] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 010B53D0
.text C:\WINDOWS\system32\csrss.exe[680] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 010B5300
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!CreateFileA 7C801A28 5 Bytes JMP 010B11C0
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!CreateFileW 7C810800 5 Bytes JMP 010B1290
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!MoveFileW 7C821261 5 Bytes JMP 010B2570
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!CopyFileA 7C8286EE 5 Bytes JMP 010B1000
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!CopyFileW 7C82F84B 5 Bytes JMP 010B10A0
.text C:\WINDOWS\system32\csrss.exe[680] KERNEL32.dll!MoveFileA 7C835E8F 5 Bytes JMP 010B2510
.text C:\WINDOWS\system32\csrss.exe[680] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 010B1D10
.text C:\WINDOWS\system32\csrss.exe[680] WS2_32.dll!send 71A94C27 5 Bytes JMP 010B7250
.text C:\WINDOWS\system32\csrss.exe[680] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 010B2160
.text C:\WINDOWS\system32\csrss.exe[680] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 010B20A0
.text C:\WINDOWS\system32\csrss.exe[680] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 010B23A0
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 01366390
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 01366640
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 013653D0
.text C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 01365300
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 013611C0
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 01361290
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 01362570
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 01361000
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 013610A0
.text C:\WINDOWS\system32\winlogon.exe[704] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 01362510
.text C:\WINDOWS\system32\winlogon.exe[704] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 01361D10
.text C:\WINDOWS\system32\winlogon.exe[704] WS2_32.dll!send 71A94C27 5 Bytes JMP 01367250
.text C:\WINDOWS\system32\winlogon.exe[704] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 01362160
.text C:\WINDOWS\system32\winlogon.exe[704] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 013620A0
.text C:\WINDOWS\system32\winlogon.exe[704] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 013623A0
.text C:\WINDOWS\system32\services.exe[748] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00CE6390
.text C:\WINDOWS\system32\services.exe[748] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00CE6640
.text C:\WINDOWS\system32\services.exe[748] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00CE53D0
.text C:\WINDOWS\system32\services.exe[748] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00CE5300
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00CE11C0
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00CE1290
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00CE2570
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00CE1000
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00CE10A0
.text C:\WINDOWS\system32\services.exe[748] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00CE2510
.text C:\WINDOWS\system32\services.exe[748] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00CE1D10
.text C:\WINDOWS\system32\services.exe[748] WS2_32.dll!send 71A94C27 5 Bytes JMP 00CE7250
.text C:\WINDOWS\system32\services.exe[748] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00CE2160
.text C:\WINDOWS\system32\services.exe[748] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00CE20A0
.text C:\WINDOWS\system32\services.exe[748] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00CE23A0
.text C:\WINDOWS\system32\svchost.exe[924] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00F06390
.text C:\WINDOWS\system32\svchost.exe[924] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00F06640
.text C:\WINDOWS\system32\svchost.exe[924] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00F053D0
.text C:\WINDOWS\system32\svchost.exe[924] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00F05300
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00F011C0
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00F01290
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00F02570
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00F01000
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00F010A0
.text C:\WINDOWS\system32\svchost.exe[924] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00F02510
.text C:\WINDOWS\system32\svchost.exe[924] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00F01D10
.text C:\WINDOWS\system32\svchost.exe[924] WS2_32.dll!send 71A94C27 5 Bytes JMP 00F07250
.text C:\WINDOWS\system32\svchost.exe[924] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00F02160
.text C:\WINDOWS\system32\svchost.exe[924] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00F020A0
.text C:\WINDOWS\system32\svchost.exe[924] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00F023A0
.text C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 000B6390
.text C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 000B6640
.text C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 000B53D0
.text C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 000B5300
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 000B11C0
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 000B1290
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 000B2570
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 000B1000
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 000B10A0
.text C:\WINDOWS\system32\wuauclt.exe[944] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 000B2510
.text C:\WINDOWS\system32\wuauclt.exe[944] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 000B1D10
.text C:\WINDOWS\system32\wuauclt.exe[944] WS2_32.dll!send 71A94C27 5 Bytes JMP 000B7250
.text C:\WINDOWS\system32\wuauclt.exe[944] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 000B2160
.text C:\WINDOWS\system32\wuauclt.exe[944] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 000B20A0
.text C:\WINDOWS\system32\wuauclt.exe[944] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 000B23A0
.text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00B86390
.text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00B86640
.text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00B853D0
.text C:\WINDOWS\system32\svchost.exe[996] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00B85300
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00B811C0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00B81290
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00B82570
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00B81000
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00B810A0
.text C:\WINDOWS\system32\svchost.exe[996] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00B82510
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00B81D10
.text C:\WINDOWS\system32\svchost.exe[996] WS2_32.dll!send 71A94C27 5 Bytes JMP 00B87250
.text C:\WINDOWS\system32\svchost.exe[996] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00B82160
.text C:\WINDOWS\system32\svchost.exe[996] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00B820A0
.text C:\WINDOWS\system32\svchost.exe[996] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00B823A0
.text C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 02826390
.text C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 02826640
.text C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 028253D0
.text C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 02825300
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 028211C0
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02821290
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 02822570
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 02821000
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 028210A0
.text C:\WINDOWS\System32\svchost.exe[1032] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 02822510
.text C:\WINDOWS\System32\svchost.exe[1032] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 02821D10
.text C:\WINDOWS\System32\svchost.exe[1032] WS2_32.dll!send 71A94C27 5 Bytes JMP 02827250
.text C:\WINDOWS\System32\svchost.exe[1032] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 02822160
.text C:\WINDOWS\System32\svchost.exe[1032] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 028220A0
.text C:\WINDOWS\System32\svchost.exe[1032] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 028223A0
.text C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00746390
.text C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00746640
.text C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 007453D0
.text C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00745300
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 007411C0
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00741290
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00742570
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00741000
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 007410A0
.text C:\WINDOWS\system32\svchost.exe[1080] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00742510
.text C:\WINDOWS\system32\svchost.exe[1080] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00741D10
.text C:\WINDOWS\system32\svchost.exe[1080] WS2_32.dll!send 71A94C27 5 Bytes JMP 00747250
.text C:\WINDOWS\system32\svchost.exe[1080] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00742160
.text C:\WINDOWS\system32\svchost.exe[1080] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 007420A0
.text C:\WINDOWS\system32\svchost.exe[1080] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 007423A0
.text C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00B76390
.text C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00B76640
.text C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00B753D0
.text C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00B75300
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00B711C0
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00B71290
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00B72570
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00B71000
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00B710A0
.text C:\WINDOWS\system32\svchost.exe[1120] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00B72510
.text C:\WINDOWS\system32\svchost.exe[1120] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00B71D10
.text C:\WINDOWS\system32\svchost.exe[1120] WS2_32.dll!send 71A94C27 5 Bytes JMP 00B77250
.text C:\WINDOWS\system32\svchost.exe[1120] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00B72160
.text C:\WINDOWS\system32\svchost.exe[1120] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00B720A0
.text C:\WINDOWS\system32\svchost.exe[1120] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00B723A0
.text C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00A06390
.text C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00A06640
.text C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00A053D0
.text C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00A05300
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00A011C0
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00A01290
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00A02570
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00A01000
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00A010A0
.text C:\WINDOWS\system32\spoolsv.exe[1384] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00A02510
.text C:\WINDOWS\system32\spoolsv.exe[1384] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00A01D10
.text C:\WINDOWS\system32\spoolsv.exe[1384] WS2_32.dll!send 71A94C27 5 Bytes JMP 00A07250
.text C:\WINDOWS\system32\spoolsv.exe[1384] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00A02160
.text C:\WINDOWS\system32\spoolsv.exe[1384] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00A020A0
.text C:\WINDOWS\system32\spoolsv.exe[1384] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00A023A0
.text C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00BC6390
.text C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00BC6640
.text C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00BC53D0
.text C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00BC5300
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00BC11C0
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00BC1290
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00BC2570
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00BC1000
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00BC10A0
.text C:\WINDOWS\system32\svchost.exe[1464] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00BC2510
.text C:\WINDOWS\system32\svchost.exe[1464] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00BC2160
.text C:\WINDOWS\system32\svchost.exe[1464] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00BC20A0
.text C:\WINDOWS\system32\svchost.exe[1464] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00BC23A0
.text C:\WINDOWS\system32\svchost.exe[1464] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00BC1D10
.text C:\WINDOWS\system32\svchost.exe[1464] WS2_32.dll!send 71A94C27 5 Bytes JMP 00BC7250
.text C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 000A6390
.text C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 000A6640
.text C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 000A53D0
.text C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 000A5300
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 000A11C0
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 000A1290
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 000A2570
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 000A1000
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 000A10A0
.text C:\WINDOWS\System32\svchost.exe[1828] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 000A2510
.text C:\WINDOWS\System32\svchost.exe[1828] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 000A1D10
.text C:\WINDOWS\System32\svchost.exe[1828] WS2_32.dll!send 71A94C27 5 Bytes JMP 000A7250
.text C:\WINDOWS\System32\svchost.exe[1828] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 000A2160
.text C:\WINDOWS\System32\svchost.exe[1828] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 000A20A0
.text C:\WINDOWS\System32\svchost.exe[1828] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 000A23A0
.text C:\WINDOWS\Explorer.EXE[1960] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 02126390
.text C:\WINDOWS\Explorer.EXE[1960] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 02126640
.text C:\WINDOWS\Explorer.EXE[1960] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 021253D0
.text C:\WINDOWS\Explorer.EXE[1960] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 02125300
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 021211C0
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 02121290
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 02122570
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 02121000
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 021210A0
.text C:\WINDOWS\Explorer.EXE[1960] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 02122510
.text C:\WINDOWS\Explorer.EXE[1960] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 02122160
.text C:\WINDOWS\Explorer.EXE[1960] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 021220A0
.text C:\WINDOWS\Explorer.EXE[1960] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 021223A0
.text C:\WINDOWS\Explorer.EXE[1960] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 02121D10
.text C:\WINDOWS\Explorer.EXE[1960] WS2_32.dll!send 71A94C27 5 Bytes JMP 02127250
.text C:\WINDOWS\System32\alg.exe[2028] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00AA6390
.text C:\WINDOWS\System32\alg.exe[2028] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00AA6640
.text C:\WINDOWS\System32\alg.exe[2028] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 00AA53D0
.text C:\WINDOWS\System32\alg.exe[2028] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00AA5300
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00AA11C0
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00AA1290
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00AA2570
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00AA1000
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 00AA10A0
.text C:\WINDOWS\System32\alg.exe[2028] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00AA2510
.text C:\WINDOWS\System32\alg.exe[2028] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00AA1D10
.text C:\WINDOWS\System32\alg.exe[2028] WS2_32.dll!send 71A94C27 5 Bytes JMP 00AA7250
.text C:\WINDOWS\System32\alg.exe[2028] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00AA2160
.text C:\WINDOWS\System32\alg.exe[2028] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 00AA20A0
.text C:\WINDOWS\System32\alg.exe[2028] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 00AA23A0
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00166390
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00166640
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 001653D0
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00165300
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001611C0
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00161290
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00162570
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00161000
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 001610A0
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00162510
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00161D10
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WS2_32.dll!send 71A94C27 5 Bytes JMP 00167250
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00162160
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 001620A0
.text C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 001623A0
.text C:\WINDOWS\csdrive32.exe[2616] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00256390
.text C:\WINDOWS\csdrive32.exe[2616] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00256640
.text C:\WINDOWS\csdrive32.exe[2616] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 002553D0
.text C:\WINDOWS\csdrive32.exe[2616] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00255300
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 002511C0
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00251290
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00252570
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00251000
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 002510A0
.text C:\WINDOWS\csdrive32.exe[2616] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00252510
.text C:\WINDOWS\csdrive32.exe[2616] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00251D10
.text C:\WINDOWS\csdrive32.exe[2616] WS2_32.dll!send 71A94C27 5 Bytes JMP 00257250
.text C:\WINDOWS\csdrive32.exe[2616] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00252160
.text C:\WINDOWS\csdrive32.exe[2616] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 002520A0
.text C:\WINDOWS\csdrive32.exe[2616] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 002523A0
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll!NtEnumerateValueKey 7C90D2EE 5 Bytes JMP 00166390
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll!NtQueryDirectoryFile 7C90D76E 5 Bytes JMP 00166640
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll!NtResumeThread 7C90DB3E 5 Bytes JMP 001653D0
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll!LdrLoadDll 7C915C35 5 Bytes JMP 00165300
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 001611C0
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!CreateFileW 7C810800 5 Bytes JMP 00161290
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!MoveFileW 7C821261 5 Bytes JMP 00162570
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!CopyFileA 7C8286EE 5 Bytes JMP 00161000
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!CopyFileW 7C82F84B 5 Bytes JMP 001610A0
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] kernel32.dll!MoveFileA 7C835E8F 5 Bytes JMP 00162510
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WS2_32.dll!GetAddrInfoW 71A92899 5 Bytes JMP 00161D10
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WS2_32.dll!send 71A94C27 5 Bytes JMP 00167250
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WININET.dll!HttpSendRequestW 3F9FFB0E 5 Bytes JMP 00162160
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WININET.dll!HttpSendRequestA 3FA0EEE1 5 Bytes JMP 001620A0
.text C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WININET.dll!InternetWriteFile 3FA565B6 5 Bytes JMP 001623A0

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] bgtqno <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@DisplayName Helper Boot
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno@Description
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\bgtqno\Parameters@ServiceDll C:\WINDOWS\system32\pzczvdh.dll
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@DisplayName Helper Boot
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno@Description
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\bgtqno\Parameters@ServiceDll C:\WINDOWS\system32\pzczvdh.dll
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@DisplayName Helper Boot
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno@Description
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\bgtqno\Parameters@ServiceDll C:\WINDOWS\system32\pzczvdh.dll
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Erlols C:\Documents and Settings\AFone-2\Application Data\Erlols.exe

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\AFone-2\Application Data\Erlols.exe 80896 bytes executable

---- EOF - GMER 1.0.15 ----

Ответ парсера

kufufxdc.exe -del service bgtqno
kufufxdc.exe -del file "C:\WINDOWS\system32\pzczvdh.dll"
kufufxdc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bgtqno"
kufufxdc.exe -reboot

Что то тут нет то ;)
 
Хотаб, почему удалили сообщение? Я на тему подписан, так что сообщение продублировалось на почту. Если вы хотите предложить что-то предлагайте, если спросить - спрашивайте.

Оперируют полковника, проводят операцию на мозге. Хирург аккуратно вытянул мозг и тут в кабинет вбегает сержант с криком:
- Товарищ полковник, вам присвоили внеочердное звание генерал-майор!
Полковник подскакивает с криком:
- Служу отечеству.
Одевает фуражку и собирается уходить. Доктор в бессилии кричит, вы мозги забыли. В ответ доносится реплика:
- Я уже генерал-майор, зачем они мне теперь?
 
Drongo, Саня, он проанализировал твоим парсером этот лог

Получил
kufufxdc.exe -del service bgtqno
kufufxdc.exe -del file "C:\WINDOWS\system32\pzczvdh.dll"
kufufxdc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bgtqno"
kufufxdc.exe -reboot
сравнил с моим в той же теме и чему-то удивился )))
 
thyrex, Да удивился ;) Почему не был удален файл?

В парсере включена опция анализировать секцию "file" ,но тогда получается такой скрипт..

kufufxdc.exe -del service bgtqno
kufufxdc.exe -del file "C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] ntdll.dll"
kufufxdc.exe -del file "C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\ctfmon.exe[228] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\csrss.exe[680] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\csrss.exe[680] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\winlogon.exe[704] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\services.exe[748] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\services.exe[748] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[924] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[924] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\wuauclt.exe[944] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[996] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[996] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1032] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1080] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1120] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\spoolsv.exe[1384] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1464] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1828] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\Explorer.EXE[1960] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\Explorer.EXE[1960] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\alg.exe[2028] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\alg.exe[2028] WININET.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\csdrive32.exe[2616] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\csdrive32.exe[2616] WININET.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WININET.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Application Data\Erlols.exe"
kufufxdc.exe -del file "C:\WINDOWS\system32\pzczvdh.dll"
kufufxdc.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bgtqno"
kufufxdc.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bgtqno"
kufufxdc.exe -reboot

Или надо вручную убирать строки с легитимных файлов??
 
kufufxdc.exe -del file "C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] ntdll.dll"
kufufxdc.exe -del file "C:\Program Files\D-Link\Diagnostics Utility\8169Diag.exe[220] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\ctfmon.exe[228] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\ctfmon.exe[228] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\csrss.exe[680] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\csrss.exe[680] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\winlogon.exe[704] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\winlogon.exe[704] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\services.exe[748] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\services.exe[748] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[924] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[924] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\wuauclt.exe[944] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\wuauclt.exe[944] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[996] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[996] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1032] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1032] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1080] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1080] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1120] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1120] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\spoolsv.exe[1384] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\spoolsv.exe[1384] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1464] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\system32\svchost.exe[1464] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1828] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\svchost.exe[1828] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\Explorer.EXE[1960] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\Explorer.EXE[1960] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\alg.exe[2028] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\System32\alg.exe[2028] WININET.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] ntdll.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Application Data\2.exe[2396] WININET.dll"
kufufxdc.exe -del file "C:\WINDOWS\csdrive32.exe[2616] ntdll.dll"
kufufxdc.exe -del file "C:\WINDOWS\csdrive32.exe[2616] WININET.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] ntdll.dll"
kufufxdc.exe -del file "C:\Documents and Settings\AFone-2\Рабочий стол\kufufxdc.exe[3756] WININET.dll"
Это парсер Drongo так отработал???

Добавлено через 2 минуты 54 секунды
Почему не был удален файл?
Я вручную теперь убираю из скрипта удаление файла и ветки реестра CurrentControlSet. Похоже, что при удалении службы, они зачищаются утилитой
 
thyrex, Hotab, Мне не попадались подобные логи. Ту секцию не фильтровал как полагается, на выходе получался мусор. )))

Исправил и залил на ftp, но в файловом архиве почему-то всё равно старая версия. В шапке темы новую качать по ссылке зеркало.
 
Сань вообще нет упоминаний о clb.dll. Если есть пример лога, для тестирования, будет здорово. И как бы ты поступил в этом случае?
 
Drongo, Привет!Парсер проанализировал лог,но шкала прогресса(внизу справа) не заполняется до конца..ждал минут 10,изменений никаких не было..С чем это связано?
 
Hotab, анализировали этот лог ?

Добавлено через 9 минут 52 секунды
Вопрос снимается, вижу, что этот. Непонятно, почему не включили мозг и не отредактировали вручную скрипт

Drongo, Саня,
1. Почему-то восприняло отдельно
Код:
bubnulo3.exe -del file "C:\$Recycle.Bin"
2. Неправильно сформировало имя для удаления
Код:
bubnulo3.exe -del file "C:\C:\SystemRoot\System32\Drivers\2e9c5a7288fd3067.sys"

P.S. Новая версия моего парсера выдает следующее :)
Возможный тип заражения: Bootkit (Rootkit.Agent, Bubnix, Trup, ...)
Проверьте систему утилитой http://support.kaspersky.ru/viruses/solutions?qid=208639606

Возможный тип заражения: ZAccess
Проверьте систему утилитой http://support.kaspersky.ru/viruses/solutions?qid=208639606
 
Последнее редактирование:
thyrex, Да да о нем речь,после того как еще раз глянул ответ в теме увидел, что идет удаление папки.. Спасибо,сообщение поправил..
 
P.S. Новая версия моего парсера выдает следующее
значит надо ждать обновления ? :) у меня выдало

Код:
Возможный тип заражения: Bootkit (Rootkit.Agent, Bubnix, ...)
Драйвер(а): 2e9c5a7288fd3067, 2e9c5a7288fd3067
Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url].
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению
 
regist, у Вас совсем древняя версия какая-то
Уже давно в моем парсере об OSAM нет ни слова :)
 
у Вас совсем древняя версия какая-то
Уже давно в моем парсере об OSAM нет ни слова
перед тем как написать предыдущий пост скачал парсер по ссылке из этого поста, сейчас ещё раз заново скачал опять тоже самое :).
ЗЫ. версия 3.0
 
Ах да, версию 3.5 от меня получил только Drongo и, возможно, Akok (но она точно есть в коллегиальном на Вирусинфо)

Всем остальным ждать версию 4 :)
 
Назад
Сверху Снизу