Автозапуск шкідливих програм?

**sungod000** · #1 19 червня 2009, 08:12

Привіт, мій комп'ютер, здається, деякими шкідливими програмами, які я виявив, коли мій дядько пов'язав свою USB-ключа. Avast сканування знайшли матеріал, але не міг чистої / видалити його. Захисник сканування замерзне приблизно через 7 хвилин. І MBAM повне сканування також заморозило приблизно через 5 хвилин, але швидке сканування ОК. Ось журнали:

Avast:
18/06/2009 11:07:37 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ початку Приватні папки \ "Вхідні \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe" файлу.
18/06/2009 11:06:59 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ початку Приватні папки \ Віддалені \ UPS Tracking Number 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "файлу.
18/06/2009 11:06:59 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ початку Приватні папки \ Віддалені \ UPS Tracking Number 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "файлу.
18/06/2009 11:06:58 AM Користувач 3652 Знаком "Win32: Agent-AAPS [Trj]" була знайдена в "D: \ RECYCLER \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personal Folders \ початку Приватні папки \ Віддалені \ UPS Tracking Number 3508422599 \ ups_invoice.zip \ ups_invoice.exe "файлу.
18/06/2009 10:42:55 AM Користувач 3652 Знаком "Win32: Trojan-ген (Other)" була знайдена в "C: \ Documents і Settings \ Користувач \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (IMAP)-00000005.pst \ info@fcagroup.com \ Вгору особистих папок \ [Gmail] \ All Mail \ Really Cool Фотографії \ pussy.zip \ pussy.exe "файлу.
18/06/2009 10:42:41 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "C: \ Documents і Settings \ Користувач \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ Вгору особистих папок \ [Gmail] \ All Mail \ UPS: відстеження # 358010698330 \ PDF76512.zip \ PDF76512.exe "файлу.
18/06/2009 10:42:41 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "C: \ Documents і Settings \ Користувач \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ Вгору особистих папок \ [Gmail] \ All Mail \ UPS: відстеження # 145132932471 \ PDF76512.zip \ PDF76512.exe "файлу.
18/06/2009 10:42:23 AM Користувач 3652 Знаком "Win32: UPS [Cryp]" була знайдена в "C: \ Documents і Settings \ Користувач \ Local Settings \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . COM (IMAP)-00000005.pst \ info@fcagroup.com \ Вгору особистих папок \ [Gmail] \ All Mail \ UPS: відстеження # 239293259082 \ EXL6512721.zip \ EXL6512721.exe "файлу.
17/06/2009 5:36:18 PM СИСТЕМИ 1328 Знаком "BV: AutoRun-T [Wrm]" була знайдена в "F: \ autorun.inf" файлів.

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Сгенерирована 06/19/2009 в 10:43 ранку

Застосування Версія: 4.26.1004

Ключові правила версії бази даних: 3947
Trace Правил версія бази даних: 1889

Тип сканування: повне сканування
Всього Час сканування: 00:36:36

Пам'ять відсканованих пунктів: 631
Пам'ять виявлених загроз: 0
Реєстр пунктів відсканованих: 6110
Реєстр виявлених загроз: 0
Пункти відсканованих файлів: 46796
Фото, виявлених загроз: 9

Adware.Tracking Cookie
C: \ Documents And Settings \ User \ Cookies \ користувач @ XiTi [1]. TXT
C: \ Documents And Settings \ User \ Cookies \ користувач @ revsci [2]. TXT
C: \ Documents And Settings \ User \ Cookies \ користувач @ tribalfusion [2]. TXT
C: \ Documents And Settings \ User \ Cookies \ користувач @ RealMedia [2]. TXT
C: \ Documents And Settings \ User \ Cookies \ user@microsoftwindows.112.2o 7 [1]. TXT
C: \ Documents And Settings \ User \ Cookies \ user@pandasoftware.112.2o7 [1]. TXT
C: \ Documents And Settings \ User \ Cookies \ user@adopt.euroclick [2]. TXT
C: \ Documents And Settings \ User \ Cookies \ користувач @ specificclick [2]. TXT
C: \ Documents And Settings \ User \ Cookies \ користувач @ 247realmedia [1]. TXT

Malwarebytes 'Anti-Malware 1.38
Версія бази даних: 2308
Windows 5.1.2600 Service Pack 3

19/06/2009 11:01:44 AM
mbam-Log-2009-06-19 (11-01-44). TXT

Тип сканування: швидке сканування
Перевірка: 87063
Час минув: 2 хвилин (и), 24 секунд (и)

Memory Processes Infected: 0
Модулі пам'яті Infected: 0
Ключі реєстру Infected: 0
Registry Values Infected: 0
Дані реєстру Пункти Infected: 0
Папки Infected: 0
Заражені файли: 0

Пам'яті Процесів Infected:
(Шкідливі програми не виявлені)

Модулі пам'яті Infected:
(Шкідливі програми не виявлені)

Ключі реєстру Infected:
(Шкідливі програми не виявлені)

Registry Values Infected:
(Шкідливі програми не виявлені)

Дані реєстру Пункти Infected:
(Шкідливі програми не виявлені)

Папки Infected:
(Шкідливі програми не виявлені)

Заражені файли:
(Шкідливі програми не виявлені)

Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 11:04:24 AM від 19/06/2009
Платформа: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot Mode: Normal

Запущені процеси:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Windows Defender \ MsMpEng.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe
C: \ Program Files \ Common Files \ Avast4 \ aswUpdSv.exe
C: \ Program Files \ Common Files \ Avast4 \ ashServ.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ system32 \ cisvc.exe
C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ WINDOWS \ system32 \ Cidaemon.exe
C: \ Program Files \ jre6 \ Bin \ jqs.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ Pervasive Software \ PSQL \ Bin \ w3dbsmgr.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ SearchIndexer.exe
C: \ WINDOWS \ system32 \ fxssvc.exe
C: \ Program Files \ Common Files \ Avast4 \ ashMaiSv.exe
C: \ Program Files \ Common Files \ Avast4 \ ashWebSv.exe
C: \ WINDOWS \ RTHDCPL.EXE
C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe
C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe
C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe
C: \ Program Files \ jre6 \ Bin \ jusched.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Skype \ Phone \ Skype.exe
C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
C: \ Program Files \ Hamachi \ hamachi.exe
C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
C: \ Program Files \ Skype \ Plugin Manager \ skypePM.exe
C: \ WINDOWS \ system32 \ taskmgr.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ WINDOWS \ system32 \ NOTEPAD.EXE
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx
F2 - REG: system.ini: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, Userinit. EXE
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Spybot-S & D наприклад, захист - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: Java (TM) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program Files \ jre6 \ Bin \ jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program Files \ jre6 \ lib \ розгорнути \ jqs \ IE \ jqs_plugin.dll
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe"
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Захисник Windows] "C: \ Program Files \ Windows Defender \ MSASCui.exe" Приховувати
O4 - HKLM \ .. \ Run: [ZoneAlarm Client] "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe"
O4 - HKLM \ .. \ Run: [Samsung PanelMgr] C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe / автозапуск
O4 - HKLM \ .. \ Run: [4x28 Scan2PC] C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e Хе "
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ Program Files \ jre6 \ Bin \ jusched.exe "
O4 - HKLM \ .. \ RunOnce: Anti [Malwarebytes 'Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / установка / Silent
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKLM \ .. \ Run: [Skype] "C: \ Program Files \ Skype \ Phone \ Skype.exe" / nosplash / мінімум
O4 - HKLM \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKLM \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKLM \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'SYSTEM')
O4 - HKLM \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'Default User')
O4 - Startup: hamachi.lnk = C: \ Program Files \ Hamachi \ hamachi.exe
O4 - Startup: Ярлик для карт Drive.lnk = C: \ Documents And Settings \ User \ Desktop \ MAP Drive.bat
O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe
O4 - Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Додатковий пункт контекстного меню: E & Експорт в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O8 - Додатковий пункт контекстного меню: Web Capture - C: \ Program Files \ SmarThru Управління \ WebCapture.dll
O9 - Додаткові кнопки: Дослідження - (92780B25-18cc-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Додаткові кнопки: (без назви) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Сервіс "MENUITEM Extra ': Spybot - Search & Destroy Конфігурація - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Додаткові кнопки: (без назви) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Сервіс "MENUITEM Extra ': @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Додаткові кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://www.update.microsoft.com/wind...?1203273577140
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Adobe Л.М. послуг - Невідомий власник - C: \ Program Files \ Common Files \ Adobe Systems Загальні \ Service \ Adobelmsvc.exe
O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ aswUpdSv.exe
O23 - Service: Avast! Antivirus - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashServ.exe
O23 - Service: Avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashMaiSv.exe
O23 - Service: Avast! Web Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe
O23 - Service: Hamachi обслуговування (HamachiService) - LogMeIn вкл. - C: \ Program Files \ Hamachi \ hamachi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ jre6 \ Bin \ jqs.exe
O23 - Service: NVIDIA Display Driver обслуговування (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: Pervasive PSQL Workgroup двигуна (psqlWGE) - вкл. Pervasive Software - C: \ Program Files \ Pervasive Software \ PSQL \ Bin \ w3dbsmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Компанія Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe

--
Кінець файлу - 7353 байт

**sjb007** · #2 20 червня 2009, 06:58

Howdy і ласкаво просимо Комп'ютерні сік

Я Стів і я буду допомагати вам thoughout це виправити.

Перед початком виправити, читати цей пост повністю. Якщо що-небудь, що ви не розумієте, просимо ваші питання перед переходом. Важливо, щоб ви не пропустите ні кроку. Виконайте все в правильному порядку / послідовність.

Ми почнемо з ComboFix.exe. Будь ласка, відвідайте цю сторінку Посилання для завантаження та інструкції для роботи з інструментом:

http://www.bleepingcomputer.com/comb...o-use-combofix

Переконайтеся, що Ви відключили всі анти вірус і анти шкідливих програм, щоб вони не заважали управління ComboFix.

Будь ласка, увімкніть C: \ ComboFix.txt У таку відповідь для подальшого розгляду.

**sungod000** · #3 22 червня 2009, 07:38

Гей, спасибі за допомогу. Ось лог:

ComboFix 09-06-21.01 - користувач 22/06/2009 10:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00]
Running From: C: \ Documents і Settings \ Користувач \ Desktop \ ComboFix.exe
А.В.: Avast! Antivirus 4.8.1335 [VPS 090621-0] * Постійне антивірусний захист інвалідів * (Updated) (7591DB91-41F0-48A3-B128-1A293FD8233D)
FW: ZoneAlarm Firewall * * (інвалідів 829BDA32-94B3-44F4-8446-F8FCFF809F8B)
.

((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ WINDOWS \ system32 \ winsusrm.dll

.
((((((((((((((((((((((((( Фото, створених з 2009-05-22 до 2009-06-22 ))))))))))) ))))))))))))))))))))
.

2009-06-19 15:34. 2009-06-19 15:34 -------- D ----- W-C: \ Program Files \ Microsoft ActiveSync
2009-06-19 14:07. 2009-06-19 14:07 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 38160 ---- AW-C: \ Windows \ System32 \ Drivers \ mbamswissarmy.sys
2009-06-19 14:07. 2009-06-19 14:07 -------- D ----- W-C: \ Program Files \ Malwarebytes 'Anti-Malware
2009-06-19 14:07. 2009-06-19 14:07 -------- D ----- W-C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2009-06-19 14:07. 2009-06-17 15:27 19096 ---- AW-C: \ Windows \ System32 \ Drivers \ mbam.sys
2009-06-19 13:58. 2009-06-19 13:58 117760 ---- AW-C: \ Documents і Settings \ Користувач \ Application Data \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL
2009-06-19 13:57. 2009-06-19 13:57 -------- D ----- W-C: \ Documents і Settings \ All Users \ Application Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- D ----- W-C: \ Program Files \ SUPERAntiSpyware
2009-06-19 13:57. 2009-06-19 13:57 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ SUPERAntiSpyware.com
2009-06-19 13:57. 2009-06-19 13:57 -------- D ----- W-C: \ Program Files \ Common Files \ Wise Installation майстри
2009-06-10 17:39. 2009-06-10 17:39 152576 ---- AW-C: \ Documents і Settings \ Користувач \ Application Data \ Sun \ Java \ jre1.6.0_14 \ lzma.dll
2009-06-10 00:53. 2009-06-10 00:53 -------- D ----- W-C: \ Documents і Settings \ All Users \ Application Data \ NCH Software
2009-05-29 11:46. 2008-04-14 09:42 26624 ---- AW-C: \ Documents і Settings \ LocalService \ Application Data \ Microsoft \ UPnP Device Host \ upnphost \ udhisapi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-22 14:22. 2009-04-28 15:03 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ Skype
2009-06-22 13:56. 2008-02-17 21:01 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ Hamachi
2009-06-22 12:02. 2009-04-28 15:18 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ skypePM
2009-06-19 13:35. 2008-02-17 22:39 -------- D ----- W-C: \ Documents і Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2009-06-18 19:10. 2008-06-19 15:20 31703397 ---- AW-C: \ Windows \ Internet Logs \ tvDebug.zip
2009-06-12 07:08. 2008-12-03 14:46 -------- D ----- W-C: \ Program Files \ Windows Desktop Search
2009-06-10 17:39. 2009-03-26 15:12 -------- D ----- W-C: \ Program Files \ Java
2009-06-10 16:58. 2008-12-30 17:22 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ FileZilla
2009-05-30 21:05. 2008-08-28 17:15 -------- D ----- W-C: \ Program Files \ МК PowerTools
2009-05-25 04:24. 2008-05-27 03:18 350208 ---- AW-C: \ WINDOWS \ system32 \ Mssph.dll
2009-05-21 15:33. 2008-12-06 16:44 410984 ---- AW-C: \ WINDOWS \ system32 \ deploytk.dll
2009-05-12 19:12. 2008-02-17 18:05 26144 ---- AW-C: \ WINDOWS \ system32 \ spupdsvc.exe
2009-05-07 15:32. 2004-08-03 16:56 345600 ---- AW-C: \ WINDOWS \ system32 \ Localspl.dll
2009-05-01 16:37. 2009-02-07 19:53 -------- D ----- W-C: \ Documents і Settings \ Користувач \ Application Data \ Unyte
2009-04-29 04:46. 2004-08-03 16:56 666624 ---- AW-C: \ WINDOWS \ system32 \ Wininet.dll
2009-04-29 04:46. 2004-08-03 16:56 81920 ---- AW-C: \ WINDOWS \ system32 \ ieencode.dll
2009-04-28 15:18. 2009-04-28 15:18 56 --- ха-W-C: \ WINDOWS \ system32 \ ezsidmv.dat
2009-04-28 15:02. 2009-04-28 15:02 -------- D ----- W-C: \ Program Files \ Common Files \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- D ----- R-C: \ Program Files \ Skype
2009-04-28 15:02. 2009-04-28 15:02 -------- D ----- W-C: \ Documents і Settings \ All Users \ Application Data \ Skype
2009-04-17 12:26. 2004-08-03 15:17 1847168 ---- AW-C: \ WINDOWS \ system32 \ Win32k.sys
2009-04-15 14:51. 2004-08-03 16:56 585216 ---- AW-C: \ WINDOWS \ system32 \ Rpcrt4.dll
2009-04-09 02:09. 2009-04-09 02:04 ---- 664 AW-C: \ WINDOWS \ system32 \ d3d9caps.dat
2009-04-01 21:57. 2008-02-17 22:30 4212 --- ха-W-C: \ WINDOWS \ system32 \ zllictbl.dat
2009-04-01 21:21. 2009-04-01 21:21 152576 ---- AW-C: \ Documents і Settings \ Користувач \ Application Data \ Sun \ Java \ jre1.6.0_13 \ lzma.dll
2009-03-31 21:41. 2009-03-31 21:41 0 ---- AW-C: \ WINDOWS \ system32 \ WSSPOOL.TMP
2009-03-26 15:11. 2009-03-26 15:11 152576 ---- AW-C: \ Documents і Settings \ Користувач \ Application Data \ Sun \ Java \ jre1.6.0_12 \ lzma.dll
2008-06-23 22:36. 2008-06-23 22:36 0 ---- AW-C: \ Program Files \ gditst
2008-05-22 20:04. 2008-05-22 20:04 ---- 190 AW-C: \ Program Files \ Common Files \ psasetup.log
.

((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"CTFMON.EXE" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2008-04-14 15360]
"Skype" = "C: \ Program Files \ Skype \ Phone \ Skype.exe" [2009-04-21 24264488]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"NvCplDaemon" = "C: \ WINDOWS \ system32 \ NvCpl.dll" [2007-09-17 8491008]
"DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840]
"Avast!" = "C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. EXE" [2009-02-05 81000]
"ZoneAlarm Клієнт" = "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384]
"Samsung PanelMgr" = "C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe" [2008-07-31 536576]
"4x28 Scan2PC" = "C: \ Windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan 2pc.exe" [2008-09-29 495616]
"SunJavaUpdateSched" = "C: \ Program Files \ jre6 \ Bin \ jusched.exe" [2009-05-21 148888]
"RTHDCPL" = "RTHDCPL.EXE" - C: \ Windows \ RTHDCPL.exe [2007-04-26 16132608]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"CTFMON.EXE" = "C: \ WINDOWS \ system32 \ CTFMON.EXE" [2008-04-14 15360]

C: \ Documents і Settings \ Користувач \ Start Menu \ Programs \ Startup \
hamachi.lnk - C: \ Program Files \ Hamachi \ hamachi.exe [2008-2-17 625952]
Клавіші швидкого доступу до карти Drive.lnk - C: \ Documents і Settings \ Користувач \ Desktop \ MAP Drive.bat [2008-7-30 42]
SyncBack.lnk - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064]

C: \ Documents і Settings \ All Users \ Start Menu \ Programs \ Startup \
Search.lnk Windows - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008-5-26 123904]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
2008-12-22 16:05 356352 ---- AW-C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll

[HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control L \ SafeBoot \ Minimal \ WinDefend]
@ = "Service"

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ ZoneLabsFirewall]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"% WINDIR% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ WINDOWS \ system32 \ \ fxsclnt.exe" =
"C: \ \ Program Files \ \ Pervasive Software \ \ PSQL \ \ Bin \ \ w3dbsmgr.exe" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. EXE" =
"C: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. EXE" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009

R1 aswSP; Avast! Самозахисту; C: \ Windows \ System32 \ Drivers \ aswSP.sys [07/04/2008 10:44 ранку 114768]
R1 SASDIFSV; SASDIFSV C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26.05.2009 10:05 ранку 9968]
R1 SASKUTIL; SASKUTIL C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26.05.2009 10:05 ранку 72944]
R2 aswFsBlk; aswFsBlk C: \ Windows \ System32 \ Drivers \ aswF sBlk.sys [07/04/2008 10:44 ранку 20560]
R2 HamachiService; Hamachi обслуговування; C: \ Program Files \ Hamachi \ hamachi.exe [17/02/2008 5:01 вечора 625952]
R2 psqlWGE; Pervasive PSQL Workgroup двигуна; C: \ Program Files \ Pervasive Software \ PSQL \ Bin \ w3dbsmgr.exe [06/06/2008 1:03 вечора 435488]
R2 WinDefend; Захисник Windows C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 вечора 13592]
R3 SASENUM; SASENUM C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26.05.2009 10:05 ранку 7408]
S1 KPSYSDRV; KPSYSDRV C: \ Windows \ System32 \ Drivers \ Kpsy sdrv.sys [23/06/2008 6:36 вечора 17016]
S2 BulkUsb; Genesys Logic USB Controller NT 5.0; C: \ WINDOWS \ System32 \ Drivers \ usbprn.sys [23/06/2008 6:27 вечора 7552]
S2 SSPORT; SSPORT; \? \ C: \ WINDOWS \ system32 \ drivers \ SSPO RT.sys -> C: \ WINDOWS \ system32 \ drivers \ SSPORT.sys [?]
S3 Moarer; Moarer; [X]

--- Інші послуги / водіїв У пам'яті ---

NewlyCreated * * - SASDIFSV
NewlyCreated * * - SASENUM
NewlyCreated * * - SASKUTIL
.
Вміст папки "Призначені завдання" '

2009-06-22 C: \ WINDOWS \ Tasks \ MP розкладом Scan.job
- C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20]

2009-06-22 C: \ WINDOWS \ Tasks \ SyncBack Outlook.job
- C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19]
.
.
------- ------- Додатковій скануванні
.
uStart Page = hxxp: / / www.dhl.ca / CA / wfHomeLoggedIn.aspx
IE: E & Експорт в Microsoft Excel - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
IE: Web Capture - C: \ Program Files \ SmarThru Управління \ WebCapture.dll
FF - ProfilePath --
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2009-06-22 10:31
Windows 5.1.2600 Service Pack 3 NTFS

Сканування приховані процеси ...

Сканування приховані Autostart записів ...

Сканування приховані файли ...

Перевірка успішно завершена
приховані файли: 0

************************************************** ************************
.
--------------------- LOCKED Registry Keys ---------------------

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Pervasive Software \ PSQL]
@ Заборонено:) (Все)
@ = ""
.
Час завершення: 2009-06-22 10:32
ComboFix-карантин-files.txt 2009-06-22 14:32

Попередньо Run: 32245211136 байт вільно
Після Run: 32239325184 байт вільно

WindowsXP-KB310994-SP2-Pro-Bootdisk-ENU.exe
[Boot Loader]
Timeout = 2
за замовчуванням = Multi (0) диска (0) RDISK (0) розділ (1) \ S ВІКНО
[Operating Systems]
C: \ Cmdcons \ BOOTSECT.DAT = "Консоль відновлення Microsoft Windows" / Cmdcons
Multi (0) диска (0) RDISK (0) розділ (1) \ WINDOWS = "Micro м'яких Windows XP Professional" / noexecute = optin / FASTDETECT

164 --- --- EOF 2009-06-18 19:28

**sjb007** · #4 22 червня 2009, 09:38

Howdy там

У наступній замітці я хочу запускати мережі вірусів, Перша дозволяє видалити деякі небажані ....

Будь ласка, скачайте ATF Cleaner За Atribune.
Ця програма призначена для XP і Windows 2000 лише

Двічі клацніть АТФ-CLEANER.EXE Для запуску програми.
Під Головний Виберіть: Обрати всіх
Натисніть Порожні Закладки кнопки.

Якщо ви використовуєте браузер Firefox
Натисніть Firefox вгорі і виберіть: Обрати всіх
Натисніть Порожні Закладки кнопки.
ПРИМІТКА: Якщо ви хочете зберегти ваші збережені паролі, натисніть Ні у командному рядку.

Якщо ви використовуєте браузер Opera
Натисніть Opera вгорі і виберіть: Обрати всіх
Натисніть Порожні Закладки кнопки.
ПРИМІТКА: Якщо ви хочете зберегти ваші збережені паролі, натисніть Ні у командному рядку.

Натисніть Вийти У головному меню, щоб закрити програму.
Для Технічна підтримкаДвічі клацніть на адресу електронної пошти, розташованої в нижній частині кожного меню.

Створення інтернет & виконувати сканування за допомогою Інтернету Internet Explorer близько Kaspersky Online Scanner.

** Vista користувачі - правої кнопки IE / Firefox значок і запускати в якості адміністратора

Натисніть Прийняти, Коли буде запропоновано завантажити та встановити файли програми і бази даних шкідливого ПО.

Натисніть Тікати в СБ рядку.
Програма Потім почнеться завантаження та встановлення а також оновлення бази даних.
Будь ласка, будьте терплячими, оскільки це може зайняти кілька хвилин.
Після завершення оновлення, натисніть на Мій комп'ютер відповідно до зелений Зчитувати штрих-вліво, щоб розпочати сканування.
Після завершення сканування, воно буде відображатися, якщо ваша система була інфікована. Він не забезпечує можливість чистого / дезінфекції. Ми лише вимагаємо звіту від нього.
Робити НЕ турбувати, що ви бачите в цій доповіді. Багато знахідок ймовірно, на карантин.
Натисніть Відкрити сканування доповіді в нижній частині.
Натисніть Повідомте як зберегти... кнопки.
Натисніть Зберегти як Текст кнопку, щоб зберегти файл на робочому столі так, що ви можете розмістити його в ваш наступний відповідь.

Ця анімація проведе вас через цей процес:

** Примітка **

Для оптимізації часу сканування і виробляють більш розумний доповідь для розгляду:
Закрийте всі відкриті програми
Вимкніть сканер реального часу з будь-якої існуючої антивірусної програми при виконанні інтерактивної перевірки. Ви можете відключитися від Інтернету, коли ви почали сканування.

Примітка для Internet Explorer 7 користувачам: Якщо в будь-який момент у вас є проблеми з переглядом прийняти кнопки ліцензії, клацніть на інструменті Збільшити розташований в правому нижньому куті вікна IE, і встановити збільшити до 75%. Після того як ліцензії приймається, скидання до 100%.

Поштові назад з результатами Kasperksy, а також оновлена мені, як все працює

**sungod000** · #5 23 червня 2009, 08:40

http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, пошук Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.dll O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe Л.М. послуг - Невідомий власник - C: \ Program Files \ Common Files \ Adobe Systems Загальні \ Service \ Adobelmsvc.exe O23 - Service: Avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ aswUpdSv.exe O23 - Service: Avast! Antivirus - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashServ.exe O23 - Service: Avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashMaiSv.exe O23 - Service: Avast! Web Scanner - ALWIL Software - C: \ Program Files \ Common Files \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Hamachi обслуговування ( HamachiService) - LogMeIn вкл. - C: \ Program Files \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc - C: \ Program Files \ jre6 \ Bin \ jqs.exe O23 - Service: NVIDIA Display Driver обслуговування (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive PSQL Workgroup двигуна (psqlWGE) - вкл. Pervasive Software - C: \ Program Files \ Pervasive Software \ PSQL \ Bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Компанія Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe - кінець файлу - 7090 байт

**sjb007** · #6 23 червня 2009, 12:14

Привіт там

Нам дійсно потрібно запустити повне сканування системи на диску, щоб переконатися, немає нічого, що залишилися.

Одне я помітив, що онлайн-сканера, взяв на шахрайські електронною поштою. Вона не говорить нам, які саме це одне, але він говорить нам, що вона знаходиться в папці "Вхідні". Фішинг-атак спроби заманити вас у покласти ваші дані на сайтах, щоб злочинці можуть отримати інформацію і використовувати її в своїх власних інтересах. Додаткову інформацію про фішинг читати цю статтю тут. Електронної пошти в питанні може виглядати як вона прийшла з вашим власним банком або іншою фінансовою установою і навіть нести логотипи, викрадених з оригінального сайту. Ніколи не увійти в будь-який сайт, банківського або будь-який інший сайт за посиланнями з листів. Будь-який момент перейти на головну сторінку і зареєструватися як зі своїми. Я б порадив вам, що ваші порожні папки "Видалені" поруч з будь-яким іншим підозрілим листів.

Давайте подивимося повного сканування за допомогою іншого сканера.

Виконати онлайн сканування з Panda ActiveScan

Натисніть на Сканування ПК Тепер
"Поп-вгору", з'явиться вікно, або нова вкладка буде відкрита.
Натисніть на Реєстрація
Виберіть варіант вам більше подобається, але ми рекомендуємо Безкоштовна реєстрація.
Натисніть на Реєстрація
Введіть адресу електронної пошти, і створити пароль.
Виберіть "Я не хочу отримувати інформацію будь-якого виду". (Якщо ви не хочете отримувати таку інформацію)
Натисніть на Відправляти
Підтвердіть реєстрацію, і продовжувати, ввівши своє ім'я користувача і пароль, потім натисніть Увійти
Виберіть Повне сканування, а потім натисніть Сканувати зараз
Почекайте, компоненти які будуть завантажені і встановлені. Не закривайте це вікно або перейти на іншу сторінку під час його завантаження. Ви можете продовжувати використовувати Інтернет, відкривши в іншому вікні браузера.
Якщо він знаходить будь-які шкідливі можна вилікувати, кнопка "Лікувати буде включена. Натисніть на Лікувати
Прохання ігнорувати пропозицію купити програму. Натисніть на Експорт в
Експорт журналу і зберегти її на робочому столі.
Будь ласка, пост зміст цього журналу вашої відповіді.

* Вимкніть реального сканер час будь-якого з існуючих антивірусних програм при здійсненні онлайн-сканування.

Avast користувачам Примітка:

Будь ласка, продовжувати з онлайн-перевірки на Panda, якщо ви отримаєте попередження. Це помилкове спрацьовування від Avast Panda Antivirus бо не шифрує свої вірусні бази.

HJT За деяких причин журналу Ви представили не читається, замість цього я хочу, щоб ви пост іншому типу журналу

Будь ласка, скачайте DDS і зберегти її на робочому столі.

Вимкніть блокування сценаріїв захист
Двічі клацніть dds.scr для запуску інструменту.
По завершенні, DDS.txt відкриється.
Натисніть Так на наступному рядку для Додатково Сканування.
Збережіть звіт на ваш робочий стіл.

Поштові і знову входить у ваш наступний відповідь

Також увімкніть Panda результати сканування і тримати мене в курсі про ваш стан системи

Аналогічні нитки
Нитка	Різьба для початківців	Форум	Відповіді	Останнє повідомлення
Panda USB і автозапуску вакцини 1.0.0.19 Beta	evilfantasy	Вірусів, програм-шпигунів І Безпеки	0	7 березня 2009 12:47
Автозапуск CD	severntales	Знімні накопичувачі І ЗМІ	2	13 грудня 2008 00:28
CD з драйверами не буде автозапуску я буду керуватися у налаштуванні	P5200	General Software чат	8	4 вересня 2008 08:30
Autorun проблеми	Zephiron	Вірусів, програм-шпигунів І Безпеки	10	17 лютого 2008 14:28
КР не буде автозапуску / Autostart	rigisme	Знімні накопичувачі І ЗМІ	11	18 грудня 2007 14:37

Різьба Інструменти
Показати Версія для друку Послати сторінку