IEXPLORER.EXE вірус PLS огляді журналу HiJack

nitingaur · #1 21 вересня 2008, 12:02

Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 12:01:37 PM, за 9/21/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot Mode: Normal
Запущені процеси:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ csrss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Centenn.ial \ Аудит \ CAgent32.exe
C: \ Centenn.ial \ Аудит \ xferwan.exe
C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
C: \ _integra \ Bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ suservice.exe
C: \ WINDOWS \ System32 \ alg.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ _integra \ Bin \ shstart.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp.Exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Program Files \ Lenovo \ HotKey \ TPONSCR.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe
C: \ Program Files \ Lenovo \ збільшити \ TpScrex.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ taskmgr.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ System32 \ WBEM \ wmiprvse.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ System32 \ WBEM \ wmiprvse.exe
F2 - REG: system.ini: Userinit = C: \ WINDOWS \ system32 \ userinit.exe, C: \ _inte Гра \ Bin \ shstart.exe
O2 - BHO: AcroIEHlprObj клас - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ System32 \ DLA \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [Persistence] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [DLA] C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [ТВТ планувальника Proxy] C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKLM \ .. \ Run: [Yahoo! Пейджер] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихий
O4 - HKLM \ S-1-5-19 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'LOCAL SERVICE')
O4 - HKLM \ S-1-5-20 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'NETWORK SERVICE')
O4 - HKLM \ S-1-5-18 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" систему (User'')
O4 - HKLM \. DEFAULT \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default User')
O8 - Додатковий пункт контекстного меню: E & Експорт в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Додаткові кнопки: Дослідження - (92780B25-18cc-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Додаткові кнопки: @ C: \ Program Files \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': @ C: \ Program Files \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Агента 6,6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Domain = keane.com
O23 - Service: Lavasoft Ad-Aware обслуговування (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
O23 - Service: Служба "Управління додатками (AppMgSvc) - Невідомий власник - C: \ Program.exe (файл відсутній)
O23 - Service: BHCP обслуговування (BHsrv) - Невідомий власник - C: \ Program.exe (файл відсутній)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
O23 - Service: Symantec налаштування Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
O23 - Service: CentennialClientAgent - Centennial Software Limited - C: \ Centenn.ial \ Аудит \ CAgent32.exe
O23 - Service: CentennialIPTransferAgent - Centennial Software Limited - C: \ Centenn.ial \ Аудит \ xferwan.exe
O23 - Service: Клієнт служби оновлення для Novell (cusrvc) - Novell, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Service: Cisco Systems, Inc VPN Service (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
O23 - Service: Symantec AntiVirus Визначення Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Intel (R) PROSet / Wireless Event Log (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
O23 - Service: ThinkPad PM обслуговування (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Intel (R) PROSet / Wireless Registry Service (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
O23 - Service: Intel (R) PROSet / Wireless обслуговування (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Драйвери обслуговування (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
O23 - Service: оновлення системи (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System Update \ suservice.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: ThinkVantage Registry Monitor служби - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Служба обліку (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - Service: Планувальник ТВТ - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
O23 - Service: Symantec LiveState Агента для Windows (WControl) - Symantec Corporation - C: \ _integra \ Bin \ ccmagent.exe
--
Кінець файлу - 8621 байт

**evilfantasy** · #2 21 вересня 2008, 15:30

Завантаження Malwarebytes 'Anti-Malware (MBAM)

Двічі клацніть mbam-setup.exe і дотримуйтесь інструкцій, щоб встановити програму.
Врешті-решт, бути впевнені, галочка стоїть в безпосередній близькості до наступного:
- Оновлення Malwarebytes 'Anti-Malware
- Ракета Malwarebytes 'Anti-Malware
Потім натисніть Готово.
У разі виявлення оновлень, вона буде завантажити і встановити останню версію.
Після того як програма завантажиться, виберіть Виконати швидке сканування, Потім натисніть Сканування.
Коли сканування завершено, натисніть кнопку OK, Потім Показати результати Для перегляду результатів.
Будьте впевнені, що все перевіряється, і натисніть Видалити вибрані.
Після завершення дезінфекції, журнал буде відкритий в Блокноті і Вам може бути запропоновано перезавантажити. (Див. Додаткова примітка)
У журналі зберігається автоматично за MBAM і можуть бути переглянуті, вибравши вкладку Журнал в MBAM.
Копіювати та вставити весь звіт в наступному відповіді.

Додаткова Примітка: Якщо MBAM зустрічає файлів, які важко видалити, вам буде представлений з 1 по 2 підказками, натисніть кнопку ОК або, і нехай MBAM приступити до процесу дезінфекції, якщо запит на перезавантаження комп'ютера, будь-ласка, зробіть це негайно.

nitingaur · #3 21 вересня 2008, 18:18

Не знайдено шкідливих програм, ось доповідь
-------------------------------------------------- ----
Windows 5.1.2600 Service Pack 2
9/21/2008 6:16:07 PM
mbam-Log-2008-09-21 (18-16-07). TXT
Тип сканування: швидке сканування
Перевірка: 52621
Час минув: 4 хвилин (и), 41 секунд (и)
Memory Processes Infected: 0
Модулі пам'яті Infected: 0
Ключі реєстру Infected: 0
Registry Values Infected: 0
Дані реєстру Пункти Infected: 0
Папки Infected: 0
Заражені файли: 0
Пам'яті Процесів Infected:
(Шкідливі програми не виявлені)
Модулі пам'яті Infected:
(Шкідливі програми не виявлені)
Ключі реєстру Infected:
(Шкідливі програми не виявлені)
Registry Values Infected:
(Шкідливі програми не виявлені)
Дані реєстру Пункти Infected:
(Шкідливі програми не виявлені)
Папки Infected:
(Шкідливі програми не виявлені)
Заражені файли:
(Шкідливі програми не виявлені)

**evilfantasy** · #4 21 вересня 2008, 18:40

Існує немає шкідливого показані в будь-якому журналі.

Що ж таке відбувається?

nitingaur · #5 21 вересня 2008, 19:23

Кілька процес IEXPLORER.EXE є spwaning у списку процесів. Вони негайно спливав, якщо я вб'ю їх по одному. Іноді я також чув, якісь звуки, як одна з тих що працює під управлінням будь-який браузер, але не видно. Існує безперечно неправі вони не повинні існувати.

**evilfantasy** · #6 21 вересня 2008, 19:26

Завантажити ComboFix SUBS по одній з наступних посилань. Будьте впевнені, Top зберегти його в Desktop.

Link # 1
Link # 2

** Примітка: Важливо, щоб він був збережений прямо на робочому столі

Закрийте всі відкриті веб-браузерів. (Firefox, Internet Explorer, і т.д.) перед початком ComboFix.

Тимчасово вимикати ваш антивірусні, І будь-які антішпіонское реальний захист час перш сканування с. Натисніть Посилання щоб побачити список програм забезпечення безпеки, яка повинна бути відключена і як їх відключити.

Двомісні combofix.exe натисніть & виконайте вказівки на екрані.
Закінчивши ComboFix вироблятиме журнал для вас.
Опублікувати ComboFix журналу і новий HijackThis Log в наступному відповіді.

Важливо: Чи не MouseClick вікна ComboFix's під час його роботи. Це може призвести до нуля.

Пам'ятайте, щоб знову включити антивірусні та антишпигунські захист при ComboFix завершена.

nitingaur · #7 21 вересня 2008, 19:42

ComboFix Вхід
-----------------------
ComboFix 08-09-20.05 - 012466 2008-09-21 19:31:50.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.473 [GMT -7:00]
Running From: C: \ Keanetools \ ComboFix.exe
* Створена нова точка відновлення
ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої!
.
((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Documents і Settings \ LocalService \ Cookies \ system@ad.yieldmanag ER [1]. TXT
C: \ WINDOWS \ system32 \ x64
.
((((((((((((((((((((((((((((((((((((((( Драйвери / Послуги )))))))) )))))))))))))))))))))))))))))))))))))))))
.
------- \ Legacy_BHSRV
------- \ Service_BHsrv

((((((((((((((((((((((((( Фото, створених з 2008-08-22 до 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> D -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents і Settings \012466 \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38528 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17200 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> D -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> D -------- C: \ Program Files \ Common Files \ Wise Installation майстри
2008-09-20 23:40. 2008-09-20 23:40 <DIR> D -------- C: \ Program Files \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> D -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> D -------- C: \ Documents і Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> та ------ C: \ Documents і Settings \ All Users \ Application Data \ TEMP
2008-09-18 20:25. 2002-02-04 06:22 1230336 - ------ C: \ WINDOWS \ system32 \ Msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82432 - ------ C: \ WINDOWS \ system32 \ Msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44544 - ------ C: \ WINDOWS \ system32 \ Msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9679 - ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9675 - ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3489 - ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> D -------- C: \ Program Files \ Common Files \ Lenovo
2008-09-18 18:27. 2008-09-21 11:54 21272 - ------ C: \ WINDOWS \ system32 \ bynpea.key
2008-09-18 18:25. 2008-09-18 18:25 1 - ------ C: \ WINDOWS \ system32 \004fdb9.imi
2008-09-15 14:23. 2008-09-15 14:23 --- HS 332800 ---- C: \ WINDOWS \ system32 \ _Bhsrv.msi
2008-09-15 12:15. 2008-09-18 15:57 69942 - ------ C: \ WINDOWS \ system32 \ rrjack.key
2008-09-15 12:15. 2008-09-15 12:15 1 - ------ C: \ WINDOWS \ system32 \0048444.imi
2008-09-13 19:27. 2008-09-13 19:27 24 - ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Real
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Shared XING
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Real
.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 02:33 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-22 02:33 --------- D ----- W C: \ Program Files \ Cisco VPN Client
2008-09-21 18:56 16 - SH - R C: \ MSCIOTL.SYS
2008-09-21 18:55 ---- 8416 AW C: \ WINDOWS \ System32 \ Drivers \ CDProbe.SYS
2008-09-20 19:26 430816 - SH - W C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- D - H - W C: \ Program Files \ InstallShield Installation Information
2008-09-19 03:25 --------- D ----- W C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- D ----- W C: \ Program Files \ Lenovo
.
((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 15360]
"Yahoo! Пейджер" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"Збереження" = "C: \ WINDOWS \ system32 \ igfxpers.ex E" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"DLA" = "C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"ТВТ планувальника Proxy" = "C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" tp4mon.exe = "" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Комунікатор" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ поточн. Rentversion \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ HotKey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey]
2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ HotKey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control L \ LSA]
Аутентифікація пакети REG_MULTI_SZ MSV1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf C: \ WINDOWS \ system32 \ DRIVERS \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN C: \ WINDOWS \ system32 \ DRIVERS \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem C: \ WINDOWS \ System32 \ Drivers \ см efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe C: \ WINDOWS \ system32 \ DRIVERS \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver C: \ WINDOWS \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc, застосування управлінських послуг; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi C: \ WINDOWS \ System32 \ Drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh C: \ WINDOWS \ System32 \ Drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
.
------- ------- Додатковій скануванні
.
R0 -: HKCU-Main, Start Page = hxxp: / / www.google.com/
O8 -: E & Експорт в Microsoft Excel - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-09-21 19:35:12
Windows 5.1.2600 Service Pack 2 NTFS
Сканування приховані процеси ...
Сканування приховані Autostart записів ...
Сканування приховані файли ...
Перевірка успішно завершена
приховані файли: 0
************************************************** ************************
[HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ ppMgSvc]
"ImagePath" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi"
.
--------------------- Бібліотек завантажений в запущених процесах ---------------------
ПРОЦЕС: C: \ WINDOWS \ system32 \ winlogon.exe
-> C: \ Program Files \ Lenovo \ HotKey \ tphklock.dll
.
------------------------ Інші процеси, запущені ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
C: \ _integra \ Bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HotKey \ TPONSCR.exe
C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ CENTENN.IAL \ Audit \ CAgent32.exe
C: \ CENTENN.IAL \ Audit \ xferwan.exe
C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
C: \ _integra \ Bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ SYSTEM Update \ SUService.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Була перезавантажена Час завершення: 2008-09-21 19:36:58 - машина
ComboFix-карантин-files.txt 2008-09-22 02:36:54
Попередньо Run: 64333811712 байт вільно
Після Run: 64523264000 байт вільно
175

HijackThis Вхід
-----------------------------------
Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 7:38:41 PM, за 9/21/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot Mode: Normal
Запущені процеси:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ _integra \ Bin \ shstart.exe
C: \ WINDOWS \ system32 \ tp4mon.exe
C: \ WINDOWS \ system32 \ igfxtray.exe
C: \ WINDOWS \ system32 \ hkcmd.exe
C: \ WINDOWS \ system32 \ igfxpers.exe
C: \ WINDOWS \ system32 \ NWTRAY.EXE
C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe
C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe
C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe
C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp.Exe
C: \ Program Files \ Lenovo \ HotKey \ TPONSCR.exe
C: \ Program Files \ Lenovo \ збільшити \ TpScrex.exe
C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
C: \ WINDOWS \ system32 \ TpShocks.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Centenn.ial \ Аудит \ CAgent32.exe
C: \ Centenn.ial \ Аудит \ xferwan.exe
C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Yahoo! \ Messenger \ ymsgr_tray.exe
C: \ WINDOWS \ system32 \ calc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ System32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
C: \ _integra \ Bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ System Update \ suservice.exe
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ system32 \ wuauclt.exe
C: \ WINDOWS \ Explorer.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, пошук Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj клас - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Adobe \ Acrobat 7.0 \ ActiveX \ AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - (5CA3D70E-1895-11CF-8E15-001234567890) - C: \ WINDOWS \ System32 \ DLA \ tfswshx.dll
O4 - HKLM \ .. \ Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe
O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe
O4 - HKLM \ .. \ Run: [Persistence] C: \ WINDOWS \ system32 \ igfxpers.exe
O4 - HKLM \ .. \ Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [TPHOTKEY] C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe
O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / R
O4 - HKLM \ .. \ Run: [DLA] C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe
O4 - HKLM \ .. \ Run: [EZEJMNAP] C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp.Exe
O4 - HKLM \ .. \ Run: [LPManager] C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe
O4 - HKLM \ .. \ Run: [TpShocks] TpShocks.exe
O4 - HKLM \ .. \ Run: [ТВТ планувальника Proxy] C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKLM \ .. \ Run: [Yahoo! Пейджер] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-тихий
O4 - HKLM \ S-1-5-19 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'LOCAL SERVICE')
O4 - HKLM \ S-1-5-20 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'NETWORK SERVICE')
O4 - HKLM \ S-1-5-18 \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" систему (User'')
O4 - HKLM \. DEFAULT \ .. \ Run: [комунікатор] "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" (User 'Default User')
O8 - Додатковий пункт контекстного меню: E & Експорт в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 - Додаткові кнопки: Дослідження - (92780B25-18cc-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MICROS ~ 2 \ OFFICE11 \ REFIEBAR.DLL
O9 - Додаткові кнопки: @ C: \ Program Files \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': @ C: \ Program Files \ Msgslang.dll, -61144 - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (215B8138-A3CF-44C5-803F-8226143CFC0A) (Trend Micro ActiveX Scan Агента 6,6) -- http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (B8E7B489-2160-4DE7-B592-9FD03D16CC74): Domain = keane.com
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (D239A412-22C2-4683-95BC-1FFAA687D0DF): NameServer = 172.21.18.101,172.21.18.102
O23 - Service: Lavasoft Ad-Aware обслуговування (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
O23 - Service: Служба "Управління додатками (AppMgSvc) - Невідомий власник - C: \ Program.exe (файл відсутній)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
O23 - Service: Symantec налаштування Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
O23 - Service: CentennialClientAgent - Centennial Software Limited - C: \ Centenn.ial \ Аудит \ CAgent32.exe
O23 - Service: CentennialIPTransferAgent - Centennial Software Limited - C: \ Centenn.ial \ Аудит \ xferwan.exe
O23 - Service: Клієнт служби оновлення для Novell (cusrvc) - Novell, Inc - C: \ WINDOWS \ system32 \ cusrvc.exe
O23 - Service: Cisco Systems, Inc VPN Service (CVPND) - Cisco Systems, Inc - C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
O23 - Service: Symantec AntiVirus Визначення Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: Intel (R) PROSet / Wireless Event Log (EvtEng) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
O23 - Service: ThinkPad PM обслуговування (IBMPMSVC) - Lenovo - C: \ WINDOWS \ system32 \ ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Intel (R) PROSet / Wireless Registry Service (RegSrvc) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
O23 - Service: Intel (R) PROSet / Wireless обслуговування (S24EventMonitor) - Intel Corporation - C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Драйвери обслуговування (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
O23 - Service: оновлення системи (SUService) - Lenovo Group Limited - C: \ Program Files \ Lenovo \ System Update \ suservice.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: ThinkVantage Registry Monitor служби - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
O23 - Service: ThinkPad HDD APS Служба обліку (TPHDEXLGSVC) - Lenovo. - C: \ WINDOWS \ System32 \ TPHDEXLG.exe
O23 - Service: Планувальник ТВТ - Lenovo Group Limited - C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
O23 - Service: Symantec LiveState Агента для Windows (WControl) - Symantec Corporation - C: \ _integra \ Bin \ ccmagent.exe
--
Кінець файлу - 8581 байт

**evilfantasy** · #8 21 вересня 2008, 21:24

Примітка: такі дії були створені спеціально для даного користувача. Якщо Ви не цьому користувачеві, НЕ дотримуватися цих приписів, оскільки вони можуть привести до пошкодження роботою системи

Видаліть ці файли / папки, а саме:

1. Перейти на Початок > Тікати > Тип Notepad.exe та натисніть OK , Щоб відкрити Блокнот.
Це повинен Блокнот бути, не Wordpad.
2. Скопіювати текст у поле нижче коді, виділивши весь текст та натиснувши Ctrl + C

Код:

KillAll:: Driver:: BHSRV BHsrv File:: C: \ WINDOWS \ system32 \ bynpea.key C: \ WINDOWS \ system32 \ 004fdb9.imi C: \ WINDOWS \ system32 \ _Bhsrv.msi C: \ WINDOWS \ system32 \ rrjack. Ключові C: \ WINDOWS \ system32 \ 0048444.imi C: \ WINDOWS \ System32 \ Drivers \ bynpea.sys C: \ WINDOWS \ System32 \ Drivers \ rrjack.sys C: \ WINDOWS \ system32 \ calc.exe

3. Перейдіть у вікно Блокнота, та натисніть Змінити > Вставити
4. Потім натисніть Файл > Зберегти
5. Файл CFScript.txt - Збережіть файл на робочому столі
6. Потім перетягніть CFScript (утримуючи ліву кнопку миші під час перетягування файлу) і Drop It (відпустіть ліву кнопку миші) в ComboFix.exe як ви бачите на скріншоті нижче. Важливо: Виконати цю інструкцію уважно!

ComboFix почне виконувати, просто виконайте інструкції на екрані.
Після перезавантаження (у випадку вона просить перезавантаження), це приведе журнал для вас.
Пост ", що журнал (Combofix.txt) у Ваш таку відповідь.

Примітка: Чи не MouseClick вікна ComboFix's під час його роботи. Це може викликати припинення роботи системи

nitingaur · #9 21 вересня 2008, 22:20

ComboFix лог після запуску CFSCript
-------------------------------------------------- --------
ComboFix 08-09-20.05 - 012466 2008-09-21 22:11:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.598 [GMT -7:00]
Running From: C: \ Keanetools \ ComboFix.exe
Командного рядка використовувати:: C: \ Documents і Settings \012466 \ Desktop \ CFScript.txt
* Створена нова точка відновлення
ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої!
File::
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ System32 \ Drivers \ bynpea.sys
C: \ WINDOWS \ System32 \ Drivers \ rrjack.sys
C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ WINDOWS \ system32 \ _Bhsrv.msi
C: \ WINDOWS \ system32 \0048444.imi
C: \ WINDOWS \ system32 \004fdb9.imi
C: \ WINDOWS \ system32 \ bynpea.key
C: \ WINDOWS \ system32 \ calc.exe
C: \ WINDOWS \ system32 \ rrjack.key
.
((((((((((((((((((((((((( Фото, створених з 2008-08-22 до 2008-09-22 ))))))))))) ))))))))))))))))))))
.
2008-09-21 18:09. 2008-09-21 18:10 <DIR> D -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-21 18:09 <DIR> D -------- C: \ Documents і Settings \012466 \ Application Data \ Malwarebytes
2008-09-21 18:09. 2008-09-10 00:04 38528 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-21 18:09. 2008-09-10 00:03 17200 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-21 11:07. 2008-09-21 11:07 <DIR> D -------- C: \ Program Files \ Lavasoft
2008-09-21 11:07. 2008-09-21 11:08 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Lavasoft
2008-09-21 11:06. 2008-09-21 11:06 <DIR> D -------- C: \ Program Files \ Common Files \ Wise Installation майстри
2008-09-20 23:40. 2008-09-20 23:40 <DIR> D -------- C: \ Program Files \ Trend Micro
2008-09-19 09:03. 2008-09-19 09:08 <DIR> D -------- C: \ WINDOWS \ SxsCaPendDel
2008-09-19 00:49. 2008-09-19 00:52 <DIR> D -------- C: \ Documents і Settings \012466 \. Housecall6.6
2008-09-19 00:27. 2008-09-19 09:04 <DIR> та ------ C: \ Documents і Settings \ All Users \ Application Data \ TEMP
2008-09-18 20:25. 2002-02-04 06:22 1230336 - ------ C: \ WINDOWS \ system32 \ Msxml4.dll
2008-09-18 20:25. 2007-09-14 05:01 922920 --------- C: \ WINDOWS \ system32 \ ahlprun.exe
2008-09-18 20:25. 2002-02-04 06:13 82432 - ------ C: \ WINDOWS \ system32 \ Msxml4r.dll
2008-09-18 20:25. 2002-02-04 06:13 44544 - ------ C: \ WINDOWS \ system32 \ Msxml4a.dll
2008-09-18 20:25. 2002-02-07 18:43 9679 - ------ C: \ WINDOWS \ system32 \ msxml4r.cat
2008-09-18 20:25. 2002-02-07 18:43 9675 - ------ C: \ WINDOWS \ system32 \ msxml4.cat
2008-09-18 20:25. 2002-02-06 20:31 3489 - ------ C: \ WINDOWS \ system32 \ msxml4.Manifest
2008-09-18 20:25. 2002-02-06 20:31 500 - ------ C: \ WINDOWS \ system32 \ msxml4r.Manifest
2008-09-18 20:21. 2008-09-18 20:21 <DIR> D -------- C: \ Program Files \ Common Files \ Lenovo
2008-09-13 19:27. 2008-09-13 19:27 24 - ------ C: \ WINDOWS \ cdplayer.ini
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Real
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Shared XING
2008-09-13 19:26. 2008-09-13 19:26 <DIR> D -------- C: \ Program Files \ Common Files \ Real
.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-22 05:14 ---- 8416 AW C: \ WINDOWS \ System32 \ Drivers \ CDProbe.SYS
2008-09-22 05:14 16 - SH - R C: \ MSCIOTL.SYS
2008-09-22 05:14 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-22 03:07 --------- D ----- W C: \ Program Files \ Cisco VPN Client
2008-09-20 19:26 430816 - SH - W C: \ Program Files \ _MsInfo.msi
2008-09-19 03:25 --------- D - H - W C: \ Program Files \ InstallShield Installation Information
2008-09-19 03:25 --------- D ----- W C: \ Program Files \ ThinkVantage
2008-09-19 03:21 --------- D ----- W C: \ Program Files \ Lenovo
.
((((((((((((((((((((((((((((( Snapshot@2008-09-21_19.36.38.64 )))))))))) )))))))))))))))))))))))))))))))
.
- 2008-09-21 18:59:45 71370 ---- AW C: \ WINDOWS \ system32 \ Perfc009.dat
+ 2008-09-22 02:39:43 71370 ---- AW C: \ WINDOWS \ system32 \ Perfc009.dat
- 2008-09-21 18:59:45 439832 ---- AW C: \ WINDOWS \ system32 \ perfh009.dat
+ 2008-09-22 02:39:43 439832 ---- AW C: \ WINDOWS \ system32 \ perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 15360]
"Yahoo! Пейджер" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 4670704]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"IgfxTray" = "C: \ WINDOWS \ system32 \ igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds" = "C: \ WINDOWS \ system32 \ hkcmd.exe" [2007-08-15 162328]
"Збереження" = "C: \ WINDOWS \ system32 \ igfxpers.ex E" [2007-08-15 137752]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe" [2006-03-24 53408]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-06-14 124656]
"TPHOTKEY" = "C: \ Program Files \ Lenovo \ HotKey \ TPOSDSVC.exe" [2007-03-09 66176]
"UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-18 110592]
"DLA" = "C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe" [2005-05-19 127037]
"EZEJMNAP" = "C: \ PROGRA ~ 1 \ ThinkPad \ утиліт ~ 1 \ EzEjMnAp. EXE" [2007-04-26 243248]
"LPManager" = "C: \ PROGRA ~ 1 \ THINKV ~ 1 \ PrdCtr \ LPMGR.exe" [2007-03-22 120368]
"ТВТ планувальника Proxy" = "C: \ Program Files \ Common Files \ Lenovo \ планувальника \ scheduler_proxy.exe" [2008-03-04 487424]
"TkBellExe" = "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe" [2008-09-13 185896]
"TrackPointSrv" tp4mon.exe = "" [2004-08-03 C: \ WINDOWS \ system32 \ tp4mon.exe]
"NWTRAY" = "NWTRAY.EXE" [2002-03-12 C: \ WINDOWS \ system32 \ nwtray.exe]
"TpShocks" = "TpShocks.exe" [2007-03-29 C: \ WINDOWS \ system32 \ TpShocks.exe]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"Комунікатор" = "C: \ Program Files \ Microsoft Office Communicator \ Communicator.exe" [2005-05-12 4167376]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Policies \ System]
"CompatibleRUPSecurity" = 1 (0x1)
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ поточн. Rentversion \ Policies \ Explorer]
"StartMenuLogOff" = 1 (0x1)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tpfnf2]
2006-09-06 13:37 34344 C: \ Program Files \ Lenovo \ HotKey \ notifyf2.dll
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \ tphotkey]
2006-12-14 08:06 28672 C: \ Program Files \ Lenovo \ HotKey \ tphklock.dll
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control L \ LSA]
Аутентифікація пакети REG_MULTI_SZ MSV1_0 nwv1_0
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001
[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YahooMessenger.exe" =
"C: \ \ Program Files \ \ Yahoo! \ \ Messenger \ \ YServer.exe" =
R0 Shockprf; Shockprf C: \ WINDOWS \ system32 \ DRIVERS \ Apsx 86.sys [2007-03-02 100656]
R0 TPDIGIMN; TPDIGIMN C: \ WINDOWS \ system32 \ DRIVERS \ ApsH M86.sys [2007-03-02 19760]
R2 smefs; SMEFileSystem C: \ WINDOWS \ System32 \ Drivers \ см efs.sys [2006-02-08 20508]
R3 CdProbe; CdProbe C: \ WINDOWS \ system32 \ DRIVERS \ cdprob e.sys [2008-09-21 8416]
R3 smedrv; SMEDriver C: \ WINDOWS \ System32 \ Drivers \ smedr v.sys [2006-02-08 9516]
S2 AppMgSvc, застосування управлінських послуг; C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi [2008-09-20 430816]
S2 yraebbgi; yraebbgi C: \ WINDOWS \ System32 \ Drivers \ bynp ea.sys []
S2 yrtxzgwh; yrtxzgwh C: \ WINDOWS \ System32 \ Drivers \ rrja ck.sys []
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Svchost]
wrtxzg REG_MULTI_SZ wrtxzg
nraebb REG_MULTI_SZ nraebb
.
************************************************** ************************
catchme 0.3.1361 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-09-21 22:16:04
Windows 5.1.2600 Service Pack 2 NTFS
Сканування приховані процеси ...
Сканування приховані Autostart записів ...
Сканування приховані файли ...

C: \ WINDOWS \ system32 \ calc.exe
Перевірка успішно завершена
приховані файли: 1
************************************************** ************************
[HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ ppMgSvc]
"ImagePath" = "C: \ Program Files \ Common Files \ Microsoft Shared \ MSINFO \ MsInfo.msi"
.
--------------------- Бібліотек завантажений в запущених процесах ---------------------
ПРОЦЕС: C: \ WINDOWS \ system32 \ winlogon.exe
-> C: \ Program Files \ Lenovo \ HotKey \ tphklock.dll
.
------------------------ Інші процеси, запущені ----------------------- --
.
C: \ WINDOWS \ system32 \ ibmpmsvc.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ S24EvMon.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-aware \ aawservice.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ CENTENN.IAL \ Audit \ CAgent32.exe
C: \ CENTENN.IAL \ Audit \ xferwan.exe
C: \ Program Files \ Cisco VPN Client \ cvpnd.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ EvtEng.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.exe
C: \ Program Files \ Intel \ Wireless \ Bin \ RegSrvc.exe
C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
C: \ Program Files \ Common Files \ Lenovo \ tvt_reg_monitor_svc.exe
C: \ WINDOWS \ system32 \ TPHDEXLG.exe
C: \ Program Files \ Common Files \ Lenovo \ планувальника \ tvtsched.exe
C: \ _integra \ Bin \ ccmagent.exe
C: \ Program Files \ Lenovo \ SYSTEM Update \ SUService.exe
C: \ _integra \ Bin \ shstart.exe
C: \ WINDOWS \ system32 \ igfxsrvc.exe
C: \ Program Files \ Lenovo \ HotKey \ TPONSCR.exe
C: \ Program Files \ Lenovo \ ZOOM \ TpScrex.exe
C: \ Program Files \ Symantec AntiVirus \ DoScan.exe
C: \ Program Files \ Yahoo! \ Messenger \ Ymsgr_tray.exe
C: \ ComboFix \ pv.cfexe
.
************************************************** ************************
.
Була перезавантажена Час завершення: 2008-09-21 22:17:28 - машина
ComboFix-карантин-files.txt 2008-09-22 05:17:23
ComboFix2.txt 2008-09-22 02:36:59
Попередньо Run: 64509464576 байт вільно
Після Run: 64505421824 байт вільно
181

**evilfantasy** · #10 21 вересня 2008, 22:26

Завантаження OTMoveIt2 по Oldtimerі зберегти його на Desktop.

Примітка: Якщо ви працюєте на Vista, клацніть правою кнопкою миші і виберіть OTMoveIt2.exe Запуск від імені адміністратора.

1. Двічі клацніть OTMoveIt2.exe для його запуску.
2. Скопіюйте ліній в CODEBOX нижче.

Код:

[Kill Explorer] C: \ WINDOWS \ system32 \ calc.exe HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet001 \ Services \ AppMgSvc EmptyTemp [Пуск Explorer]

3. Повернення до OTMoveIt2, клацніть правою кнопкою на Вставити Список файлів / тек Переміщення вікна (у відповідності з жовтою смугою) і вибрати Вставити
4. Натисніть на червону Moveit! кнопки.
5. Скопіюйте всю інформацію у вікні результатів (у відповідності із зеленою смужкою) і вставити його в ваш наступний відповідь.
6. Закрити OTMoveIt2

ПриміткаЯкщо файл або папка не можуть бути переміщені безпосередньо Вам може бути запропоновано перезавантажити комп'ютер, щоб закінчити хід процесу. Якщо вас попросять перезавантажитися, вибрати Так. Якщо ні, перезавантаження все одно.

Аналогічні нитки
Нитка	Різьба для початківців	Форум	Відповіді	Останнє повідомлення
Видалення iexplore.exe вірус / викрадення журналу	xalice15x	Вірусів, програм-шпигунів І Безпеки	16	12 листопада 2008 19:43
Iexplorer.exe вірус - будь ласка, допоможіть мені!	Гігантська панда	Вірусів, програм-шпигунів І Безпеки	2	6 жовтня 2008 14:55
Я отримую bone.exe вірус для моїх IExplorer	damandg	Вірусів, програм-шпигунів І Безпеки	12	14 липня 2008 14:31
Iexplorer.exe вірус	iuboy2006	Вірусів, програм-шпигунів І Безпеки	9	26 березня 2008 08:12
Avssytemcare вірус спливаючі вікна і так - (це включає в себе викрадення)	спритний	Вірусів, програм-шпигунів І Безпеки	23	4 вересня 2007 16:15

Різьба Інструменти
Показати Версія для друку Послати сторінку