LSASSMGR.exe (И другие) инфицированы! Любая информация / помощь?

teddynicholas · #1 9 сен 2008, 10:31

Привет всем,

Я очень новое для вашего сайта, но невероятно благодарен, что вы здесь. Я споткнулся на него из-за недавней инфекции на моей маме в ноутбук (мы разделяем его), и я неопределенными, как решить ее.

О четырех дней назад, IE окна с всплывающей рекламы бы вдруг случится с баллоном на моем рабочем столе, что написано: "Программы-шпионы обнаружили! Нажмите сюда, чтобы скачать анти-шпионское программное обеспечение"

Я побежал Symantec И Spybot S И D Полный Сканы (не знаете, как этот вирус поскользнулся оба этих), и они не нашли ничего! Потом я начал поиск в Google и загрузить Malwarebyte в Анти-вредоносных программ и побежал это. Было установлено, некоторые вещи, но не устранить эту проблему.

Я загрузил PrevxCSI но мне не хватает $ $ $ еще покупать лицензии (но я буду, если необходимо), и в нем перечислены следующие:

C: \ WINDOWS \ system32 \ DS fmon.dll - Вредоносное программное обеспечение
C: \ WINDOWS \ system32 \ CSRLT.exe - вредоносных программ Dropper
C: \ WINDOWS \ MSBLT.exe - вредоносных программ Dropper
C: \ WINDOWS \ system32 \ LSASSMGR.exe - клоакингом вредоносных программ
C: \ Program Files \ Mozilla Firefox \ firefoxe.exe - клоакингом вредоносных программ
C: \ Program Files \ Internet Explorer \ iexplor.exe - клоакингом вредоносных программ
C: \ WINDOWS \ system32 \ spool.exe - клоакингом вредоносных программ
C: \ WINDOWS \ system32 \ srtsrv32.exe - клоакингом вредоносных программ
C: \ WINDOWS \ system32 \ LSSMON.exe - вредоносных программ Dropper
C: \ WINDOWS \ divx32.dll - вредоносных программ Dropper
C: \ WINDOWS \ system32 \ msupd32.exe - вредоносных программ Dropper
C: \ WINDOWS \ system32 \ upd01.exe - вредоносных программ Dropper

Это выглядит и звучит, как много для меня, и я очень обеспокоен.

Есть ли какие-либо предложения, полезные для меня? Я буду вынужден тратить много денег, чтобы это исправить?

Большое спасибо!

**evilfantasy** · #2 9 сен 2008, 11:32

Здравствуйте teddynicholas. Добро пожаловать на CJ.

Загрузить субтитры ComboFix по одной из ссылок ниже. Обязательно сохраните его рейтинг в Desktop.

Ссылка # 1
Ссылка # 2

** Примечание: Очень важно, что оно хранится прямо на Ваш рабочий стол

Закройте все открытые веб-браузеров. (Firefox, Internet Explorer, и т.д.), прежде чем начинать ComboFix.

Временно выключать ваш антивирус, А также любые защита от программ-шпионов Защита в реальном времени прежде выполнение сканирования. Нажмите эту ссылку для просмотра списка программ безопасности, которые должны быть отключены, и о том, как их отключить.

Дважды щелкните combofix.exe И следуйте инструкциям на экране.
После завершения ComboFix дадут журнал для вас.
Разместить ComboFix журнала В следующий ответ.

Важно: Не mouseclick ComboFix окна во время его работы. Это может привести к ее срыва.

Не забудьте снова включить ваш антивирус и антишпионских защиты, когда ComboFix завершена.

teddynicholas · #3 16 сен 2008, 14:27

ComboFix 08-09-15.02 - Тедди 2008-09-16 16:34:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.550 [GMT -4:00]
Запуск из: C: \ Documents и Settings \ Тедди \ Desktop \ ComboFix.exe
* Создали новую точку восстановления

ВНИМАНИЕ-Эта машина не имеет консоли восстановления установлен!!
.

Другие ((((((((((((((((((((((((((((((((((((((( Исключенные ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Documents и Settings \ LocalService \ Cookies \ system@ad.yieldmanag ER [1]. TXT
C: \ Documents и Settings \ Тедди \ Cookies \ teddy@ad.yieldmanager [1]. TXT
C: \ WINDOWS \ Downloaded Program Files \ setup.inf
C: \ WINDOWS \ system32 \ spool.exe

.
((((((((((((((((((((((((( Файлов, созданных с 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> D -------- C: \ WINDOWS \ system32 \ CatRoot_bak
2008-09-16 13:23. 2008-09-16 13:23 <DIR> D -------- C: \ WINDOWS \ LastGood
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ iTunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ IPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ () 3276BE95_AF08_429F_A64F_CA64CB79BCF6
2008-09-13 13:12. 2008-09-13 13:16 <DIR> D -------- C: \ Program Files \ Common Files \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> D -------- C: \ Program Files \ Easy SpyRemover
2008-09-08 15:45. 2008-09-06 00:59 741376 - A ------ C: \ WINDOWS \ system32 \ LSSMON.EXE
2008-09-08 15:45. 2008-09-04 21:59 17,920 - один ------ C: \ WINDOWS \ system32 \ LSASSMGR.EXE
2008-09-07 22:34. 2008-09-02 00:16 38528 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> D -------- C: \ Program Files \ Malwarebytes "Анти-вредоносных программ
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents и Settings \ Тедди \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - A ------ C: \ WINDOWS \ system32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57,344 - один ------ C: \ WINDOWS \ system32 \ QuickTime.qts
2008-09-05 10:44. 2008-09-06 00:59 741376 - A ------ C: \ WINDOWS \ system32 \ msupd32.exe
2008-09-04 21:59. 2008-09-07 12:59 741376 - A ------ C: \ WINDOWS \ system32 \ upd01.exe
2008-09-04 21:59. 2008-09-06 00:59 741376 - A ------ C: \ WINDOWS \ divx32.dll
2008-09-04 21:59. 2008-09-04 21:59 17,920 - один ------ C: \ WINDOWS \ system32 \ srtsrv32.exe
2008-09-04 21:59. 2008-09-16 16:24 5903 - в ------ C: \ WINDOWS \ system32 \ mssc32.dll
2008-09-04 21:59. 2008-09-16 16:24 5903 - в ------ C: \ WINDOWS \ system32 \ bsc32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> D -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - A ------ C: \ WINDOWS \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> да ------ C: \ Documents и Settings \ All Users \ Application Data \ TEMP
2008-09-01 01:20. 2008-09-07 22:19 0 - ------ C: \ WINDOWS \ system32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - одна ------ C: \ WINDOWS \ system32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - A ------ C: \ WINDOWS \ system32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> D -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> D -------- C: \ Program Files \ Common Files \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> D -------- C: \ Program Files \ Bonjour
2008-08-29 14:33. 2006-09-18 17:55 109744 - A ------ C: \ WINDOWS \ System32 \ Drivers \ SYMEVENT.SYS
2008-08-29 14:33. 2006-09-18 17:55 48816 - A ------ C: \ WINDOWS \ system32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - A ------ C: \ WINDOWS \ System32 \ \ Dns-sd.exe
2008-08-29 09:53. 2008-08-29 09:53 61440 - A ------ C: \ WINDOWS \ system32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-Ра ------ C: \ WINDOWS \ system32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-Ра ------ C: \ WINDOWS \ system32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 20:53 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- D ----- W C: \ Program Files \ QuickTime
2008-09-13 17:13 --------- D ----- W C: \ Program Files \ Apple Software Update
2008-09-08 18:53 249956 ---- AW C: \ WINDOWS \ system32 \ dsfMon.dll
2008-09-01 07:50 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ Spybot - Search Destroy И
2008-09-01 05:56 --------- D ----- W C: \ Program Files \ Spybot - Search Destroy И
2008-08-30 05:24 --------- D ----- W C: \ Program Files \ Common Files \ Adobe
2008-08-29 18:34 --------- D ----- W C: \ Program Files \ Common Files \ Symantec Общие
2008-08-29 18:33 --------- D ----- W C: \ Program Files \ Symantec
2008-08-29 18:32 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ Symantec
2008-08-27 08:22 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ FLEXnet
2008-08-26 00:52 --------- D ----- W C: \ Documents и Settings \ Тедди \ Application Data \ OpenOffice.org2
2008-08-13 21:33 --------- D ----- W C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- D ----- W C: \ Program Files \ PHM
2008-07-26 08:55 --------- D ----- W C: \ Program Files \ OpenOffice.org 2.4
2008-07-26 08:54 --------- D ----- W C: \ Program Files \ Java
2008-07-19 02:10 94920 ---- AW C: \ WINDOWS \ system32 \ cdm.dll
2008-07-19 02:10 53448 ---- AW C: \ WINDOWS \ system32 \ wuauclt.exe
2008-07-19 02:09 563912 ---- AW C: \ WINDOWS \ system32 \ wuapi.dll
2008-07-19 02:09 325832 ---- AW C: \ WINDOWS \ system32 \ wucltui.dll
2008-07-19 02:09 205,000 ---- AW C: \ WINDOWS \ system32 \ wuweb.dll
2008-07-19 02:09 1811656 ---- AW C: \ WINDOWS \ system32 \ Wuaueng.dll
2008-07-07 20:32 253952 ---- AW C: \ WINDOWS \ system32 \ es.dll
2008-06-24 22:12 295936 W ------ C: \ WINDOWS \ system32 \ wmpeffects.dll
2008-06-24 16:23 74240 ---- AW C: \ WINDOWS \ system32 \ mscms.dll
2008-06-23 16:57 826368 ---- AW C: \ WINDOWS \ system32 \ Wininet.dll
2008-06-20 17:41 245248 ---- AW C: \ WINDOWS \ system32 \ mswsock.dll
2008-04-19 16:57 32 ---- AW C: \ Documents и Settings \ All Users \ Application Data \ ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Рег погрузки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примечание * пустой записи И законным записи по умолчанию, не отображаются
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре ntVersion \ Run]
"SWG" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"Целевая QuickTime" = "C: \ Program Files \ QuickTime \ qttask.exe" [2008-09-06 413696]
"H / PC Соединение агент" = "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Search Destroy И \ TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entVersion \ Run]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Common Files \ Roxio Shared \ System \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"SiS Windows KeyHook" = "C: \ WINDOWS \ system32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ WINDOWS \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Стейплс \ easyprint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронизация Manager" = "C: \ WINDOWS \ system32 \ mobsync.exe" [2004-08-04 143360]
"Zune Launcher" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Быстрый Launcher" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Быстрый Launcher" = "C: \ Program Files \ Adobe \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"Layersecurity Servicemonitor" = "C: \ WINDOWS \ system32 \ LSSMON.EXE" [2008-09-06 741376]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2008-09-10 289576]
"Звукорежиссер" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ WINDOWS \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ WINDOWS \ system32 \ SiSPower.dll]

C: \ Documents и Settings \ Тедди \ Главное меню \ Программы \ Автозагрузка \
Adobe Gamma.lnk - C: \ Program Files \ Common Files \ Adobe \ Калибровка \ Adobe Gamma Loader.exe [2005-03-16 113664]
OneNote 2007 Экран Clipper и Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents и Settings \ All Users \ Главное меню \ Программы \ Автозагрузка \
Windows Desktop Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ образ исполнения варианты \ firefox.exe]
"Отладчик" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ образ исполнения варианты \ iexplore.exe]
"Отладчик" = C: \ Program Files \ Internet Explorer \ iexplor.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ образ исполнения варианты \ Spoolsv.exe]
"Отладчик" = C: \ WINDOWS \ system32 \ spool.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Common Files \ \ AOL \ \ погрузчики \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% WINDIR% \ \ Network Диагностический \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync RAPI менеджер
"C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Connection Manager
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Применение
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Outlook.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"C: \ \ Program Files \ \ Исидора \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Телефон \ \ Skype.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ iTunes \ \ iTunes.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: безопасный доступ Агент Порт
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Enabled: ActiveSync служба

* Вновь созданные службы * - CATCHME
* Вновь созданные службы * - PROCEXP90
.
Содержание программы "Назначенные задания" 'Папка
.
- - - - СИРОТ REMOVED - - - --

HKLM-Выполнить-CSRLT.EXE - C: \ WINDOWS \ system32 \ CSRLT.EXE

.
Дополнительная Scan ------- -------
.
FireFox -: Профиль - C: \ Documents и Settings \ Тедди \ Application Data \ Mozilla \ Firefox \ Profiles \ 6xzfp0sa.default \
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp: / / www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q =
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - руткит / стелс вредоносной программы детектора Gmer, http://www.gmer.net
Rootkit сканирования 2008-09-16 16:51:46
5.1.2600 Windows с пакетом обновления 2 NTFS

сканирования скрытых процессов ...

сканирования скрытых автостарт записи ...

Сканирование скрытые файлы ...

сканирование успешно завершено
скрытые файлы: 0

************************************************** ************************
.
Время завершения: 2008-09-16 17:15:59
ComboFix-карантине-files.txt 2008-09-16 21:15:16

Предсессионная Пробег: 10478669824 байт бесплатно
Пост-Выполнить: 10446106624 байт бесплатно

190 --- --- EOF 2008-09-11 20:07:51

**evilfantasy** · #4 16 сен 2008, 14:45

Примечание: ниже инструкции были созданы специально для данного пользователя. Если вы не этому пользователю, НЕ следовать этим направлениям, как они могут повредить работе вашей системы

Удалите эти файлы и папки, а именно:

1. Перейти к Начало > Бежать > Тип Notepad.exe и нажмите OK , чтобы открыть Блокнот.
Это должен Блокнот быть не Wordpad.
2. Скопировать текст в поле ниже код, выделив весь текст и нажав Ctrl + C

Код:

KillAll:: Файлы:: C: \ Program Files \ Easy SpyRemover C: \ WINDOWS \ system32 \ LSSMON.EXE C: \ WINDOWS \ system32 \ LSASSMGR.EXE C: \ WINDOWS \ system32 \ msupd32.exe C: \ WINDOWS \ system32 \ upd01.exe C: \ WINDOWS \ system32 \ srtsrv32.exe C: \ WINDOWS \ system32 \ mssc32.dll C: \ WINDOWS \ system32 \ bsc32.dll реестра:: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ изображение Файл исполнения Options \ iexplore.exe] "Отладчик" =- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ образ исполнения Options \ Spoolsv.exe] "Отладчик" =-

3. Перейти в "Блокнот" окно и нажмите Изменить > Вставить
4. Затем нажмите Файл > Сохранить
5. Имя файла CFScript.txt - Сохраните файл на рабочий стол
6. Затем перетащите CFScript (удерживая левую кнопку мыши при перетаскивании файла), и его падение (отпустите левую кнопку мыши), в ComboFix.exe как вы видите на скриншоте ниже. Важно: Выполнить эту инструкцию внимательно!

ComboFix начнет выполнять, просто следуйте инструкциям на экране.
После перезагрузки (в случае, если она просит перезагрузки), он будет производить журнал для вас.
Почтовые что журнал (Combofix.txt) в следующем ответе.

Примечание: Не mouseclick ComboFix окна во время его работы. Это может привести к системному заморозить

teddynicholas · #5 16 сен 2008, 15:32

ComboFix 08-09-15.02 - Тедди 2008-09-16 17:49:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.850 [GMT -4:00]
Запуск из: C: \ Documents и Settings \ Тедди \ Desktop \ ComboFix.exe
Командование выключатели используются:: C: \ Documents и Settings \ Тедди \ Desktop \ CFScript.txt
* Создали новую точку восстановления

ВНИМАНИЕ-Эта машина не имеет консоли восстановления установлен!!
.

Другие ((((((((((((((((((((((((((((((((((((((( Исключенные ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ WINDOWS \ system32 \ bsc32.dll
C: \ WINDOWS \ system32 \ LSASSMGR.EXE
C: \ WINDOWS \ system32 \ LSSMON.EXE
C: \ WINDOWS \ system32 \ mssc32.dll
C: \ WINDOWS \ system32 \ msupd32.exe
C: \ WINDOWS \ system32 \ spool.exe
C: \ WINDOWS \ system32 \ srtsrv32.exe
C: \ WINDOWS \ system32 \ upd01.exe

.
((((((((((((((((((((((((( Файлов, созданных с 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> D -------- C: \ WINDOWS \ system32 \ CatRoot_bak
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ iTunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ IPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ () 3276BE95_AF08_429F_A64F_CA64CB79BCF6
2008-09-13 13:12. 2008-09-13 13:16 <DIR> D -------- C: \ Program Files \ Common Files \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> D -------- C: \ Program Files \ Easy SpyRemover
2008-09-07 22:34. 2008-09-02 00:16 38528 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> D -------- C: \ Program Files \ Malwarebytes "Анти-вредоносных программ
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents и Settings \ Тедди \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - A ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - A ------ C: \ WINDOWS \ system32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57,344 - один ------ C: \ WINDOWS \ system32 \ QuickTime.qts
2008-09-04 21:59. 2008-09-06 00:59 741376 - A ------ C: \ WINDOWS \ divx32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> D -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> D -------- C: \ Documents и Settings \ All Users \ Application Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - A ------ C: \ WINDOWS \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> да ------ C: \ Documents и Settings \ All Users \ Application Data \ TEMP
2008-09-01 01:20. 2008-09-07 22:19 0 - ------ C: \ WINDOWS \ system32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - одна ------ C: \ WINDOWS \ system32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - A ------ C: \ WINDOWS \ system32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> D -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> D -------- C: \ Program Files \ Common Files \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> D -------- C: \ Program Files \ Bonjour
2008-08-29 14:33. 2006-09-18 17:55 109744 - A ------ C: \ WINDOWS \ System32 \ Drivers \ SYMEVENT.SYS
2008-08-29 14:33. 2006-09-18 17:55 48816 - A ------ C: \ WINDOWS \ system32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - A ------ C: \ WINDOWS \ System32 \ \ Dns-sd.exe
2008-08-29 09:53. 2008-08-29 09:53 61440 - A ------ C: \ WINDOWS \ system32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-Ра ------ C: \ WINDOWS \ system32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-Ра ------ C: \ WINDOWS \ system32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доклад )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 21:33 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- D ----- W C: \ Program Files \ QuickTime
2008-09-13 17:13 --------- D ----- W C: \ Program Files \ Apple Software Update
2008-09-01 07:50 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ Spybot - Search Destroy И
2008-09-01 05:56 --------- D ----- W C: \ Program Files \ Spybot - Search Destroy И
2008-08-30 05:24 --------- D ----- W C: \ Program Files \ Common Files \ Adobe
2008-08-29 18:34 --------- D ----- W C: \ Program Files \ Common Files \ Symantec Общие
2008-08-29 18:33 --------- D ----- W C: \ Program Files \ Symantec
2008-08-29 18:32 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ Symantec
2008-08-27 08:22 --------- D ----- W C: \ Documents и Settings \ All Users \ Application Data \ FLEXnet
2008-08-26 00:52 --------- D ----- W C: \ Documents и Settings \ Тедди \ Application Data \ OpenOffice.org2
2008-08-13 21:33 --------- D ----- W C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- D ----- W C: \ Program Files \ PHM
2008-07-26 08:55 --------- D ----- W C: \ Program Files \ OpenOffice.org 2.4
2008-07-26 08:54 --------- D ----- W C: \ Program Files \ Java
2008-04-19 16:57 32 ---- AW C: \ Documents и Settings \ All Users \ Application Data \ ezsid.dat
.

((((((((((((((((((((((((((((( Snapshot@2008-09-16_17.03.48.82 )))))))))) )))))))))))))))))))))))))))))))
.
- 2007-07-30 23:18:40 33624-C - AW C: \ WINDOWS \ system32 \ Dllcache \ wups.dll
+ 2008-07-19 02:10:20 36552-C - AW C: \ WINDOWS \ system32 \ Dllcache \ wups.dll
- 2007-07-30 23:18:40 33624 ---- AW C: \ WINDOWS \ system32 \ wups.dll
+ 2008-07-19 02:10:20 36552 ---- AW C: \ WINDOWS \ system32 \ wups.dll
- 2007-07-30 23:19:12 43352 ---- AW C: \ WINDOWS \ system32 \ wups2.dll
+ 2008-07-19 02:10:40 45768 ---- AW C: \ WINDOWS \ system32 \ wups2.dll
.
((((((((((((((((((((((((((((((((((((( Рег погрузки )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примечание * пустой записи И законным записи по умолчанию, не отображаются
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Курре ntVersion \ Run]
"SWG" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"Целевая QuickTime" = "C: \ Program Files \ QuickTime \ qttask.exe" [2008-09-06 413696]
"H / PC Соединение агент" = "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Search Destroy И \ TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entVersion \ Run]
"RemoteControl" = "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Common Files \ Roxio Shared \ System \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"SiS Windows KeyHook" = "C: \ WINDOWS \ system32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ WINDOWS \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Стейплс \ easyprint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронизация Manager" = "C: \ WINDOWS \ system32 \ mobsync.exe" [2004-08-04 143360]
"Zune Launcher" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Быстрый Launcher" = "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Быстрый Launcher" = "C: \ Program Files \ Adobe \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2008-09-10 289576]
"CSRLT.EXE" = "C: \ WINDOWS \ system32 \ CSRLT.EXE" [BU]
"Звукорежиссер" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ WINDOWS \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ WINDOWS \ system32 \ SiSPower.dll]

C: \ Documents и Settings \ Тедди \ Главное меню \ Программы \ Автозагрузка \
Adobe Gamma.lnk - C: \ Program Files \ Common Files \ Adobe \ Калибровка \ Adobe Gamma Loader.exe [2005-03-16 113664]
OneNote 2007 Экран Clipper и Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents и Settings \ All Users \ Главное меню \ Программы \ Автозагрузка \
Windows Desktop Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Валюта entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ образ исполнения варианты \ firefox.exe]
"Отладчик" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Мониторинг \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Common Files \ \ AOL \ \ погрузчики \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% WINDIR% \ \ Network Диагностический \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync RAPI менеджер
"C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Connection Manager
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Применение
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Outlook.exe" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ ONENOTE.EXE" =
"C: \ \ Program Files \ \ Исидора \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Телефон \ \ Skype.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ iTunes \ \ iTunes.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Параметры \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: безопасный доступ Агент Порт
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Enabled: ActiveSync служба

R0 pxark; pxark; C: \ WINDOWS \ System32 \ Drivers \ pxark.sys [2008-09-02 17408]
R2 CSIScanner; CSIScanner; C: \ Program Files \ PrevxCSI \ prevxcsi.exe [2008-09-02 618040]
R2 SafeAccessAgent; безопасного доступа агента; C: \ Program Files \ StillSecure \ безопасный доступ агент \ SAService.exe [2006-01-27 880640]
R2 Мнение Руководитель Службы; Мнение Руководитель Службы; C: \ Program Files \ Мнение \ Common \ ViewpointService.exe [2007-01-04 24652]
S3 HwIOctl; HwIOctl; C: \ Documents и Settings \ Владелец \ Рабочий стол \ HwIOctl.sys []
S3 Ktp3; Elantech TouchPad (KTP3); C: \ WINDOWS \ System32 \ Drivers \ Ktp3.sy S [2004-09-22 24704]
S3 Memctl; Memctl; C: \ Documents и Settings \ Владелец \ Рабочий стол \ Memctl.sys []
.
Содержание программы "Назначенные задания" 'Папка
.
- - - - СИРОТ REMOVED - - - --

HKLM-Выполнить-Layersecurity Servicemonitor - C: \ WINDOWS \ system32 \ LSSMON.EXE
HKLM-RunOnce-MSBLT.EXE - C: \ WINDOWS \ MSBLT.EXE

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - руткит / стелс вредоносной программы детектора Gmer, http://www.gmer.net
Rootkit сканирования 2008-09-16 18:00:27
5.1.2600 Windows с пакетом обновления 2 NTFS

сканирования скрытых процессов ...

сканирования скрытых автостарт записи ...

Сканирование скрытые файлы ...

************************************************** ************************
.
------------------------ Другие запущенные процессы ----------------------- --
.
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ Program Files \ Common Files \ Apple \ Мобильные устройства Support \ Bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ AluSchedulerSvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
C: \ WINDOWS \ system32 \ IoctlSvc.exe
C: \ WINDOWS \ system32 \ MsPMSPSv.exe
C: \ WINDOWS \ system32 \ searchindexer.exe
C: \ Program Files \ Мнение \ Мнение Manager \ ViewMgr.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ PROGRA ~ 1 \ MICROS ~ 3 \ rapimgr.exe
C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ Playlist.exe
C: \ Program Files \ Apoint2K \ ApntEx.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ IPod \ Bin \ iPodService.exe
C: \ WINDOWS \ system32 \ searchprotocolhost.exe
C: \ WINDOWS \ system32 \ searchfilterhost.exe
.
************************************************** ************************
.
Время завершения: 2008-09-16 18:24:56 - машина была перезагружена
ComboFix-карантине-files.txt 2008-09-16 22:23:49
ComboFix2.txt 2008-09-16 21:16:14

Предсессионная Пробег: 10626510848 байт бесплатно
Пост-Выполнить: 10616803328 байт бесплатно

205 --- --- EOF 2008-09-11 20:07:51

**evilfantasy** · #6 16 сен 2008, 15:50

Загрузка TrendMicro HijackThis.exe (HJT) для рабочего стола.

Дважды щелкните на HJTInstall.
Нажмите на Установить кнопку.
Она будет автоматически место в HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
После установки, HijackThis следует открыть для вас.
Нажмите на У системы сканирования и сохранения лог-файла Кнопка
HijackThis будет проверять, а затем журнал будет открыт в Блокноте.
Скопируйте и вставьте все содержание этого войдите в ваш пост.
Не имеют HijackThis исправить что-либо еще. Большинство из того, что она считает, будет безвредны или даже требуется.

teddynicholas · #7 23 сен 2008, 09:24

LOGFILE от Trend Micro HijackThis v2.0.2
Сканирования сохраняются в 12:21:04 PM от 9/23/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Режим загрузки: Нормальный

Запуск процессов:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Мобильные устройства Support \ Bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
C: \ WINDOWS \ system32 \ IoctlSvc.exe
C: \ Program Files \ StillSecure \ безопасный доступ агент \ SAService.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Мнение \ Common \ ViewpointService.exe
C: \ WINDOWS \ system32 \ MsPMSPSv.exe
C: \ WINDOWS \ system32 \ SearchIndexer.exe
C: \ WINDOWS \ Explorer.EXE
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ WINDOWS \ system32 \ keyhook.exe
C: \ Program Files \ Apoint2K \ Apoint.exe
C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ jusched.exe
C: \ Program Files \ Стейплс \ easyprint \ dsfhost.exe
C: \ Program Files \ Zune \ ZuneLauncher.exe
C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe
C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ Apoint2K \ Apntex.exe
C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe
C: \ PROGRA ~ 1 \ MICROS ~ 3 \ rapimgr.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ IPod \ Bin \ iPodService.exe
C: \ Program Files \ Мнение \ Мнение Manager \ ViewMgr.exe
C: \ Program Files \ Adobe \ Acrobat 9.0 \ Acrobat \ AcroTray.exe
C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet Издательство \ FNPLicensingService.exe
C: \ WINDOWS \ system32 \ Taskmgr.exe
C: \ WINDOWS \ lsass.exe
C: \ WINDOWS \ system32 \ SPOOLER.EXE
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Стартовая страница = http://www.averatec.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, поиск Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Стартовая страница = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Мастер подключения, ShellNext = http://oqaserver-a/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Настройки, ProxyOverride = *. местных
O2 - BHO: Yahoo! Панель инструментов помощнике - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Устанавливает \ КПН \ yt.dll
O2 - BHO: Adobe PDF Reader Ссылка помощнике - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: Spybot-S D И IE защите - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: Groove СГФ Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ GRA8E1 ~ 1.DLL
O2 - BHO: SSVHelper класса - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ ssv.dll
O2 - BHO: AOL инструментов запуска - (7C554162-8CB7-45A4-B8F4-8EA1C75885F9) - C: \ Program Files \ AOL \ AOL инструментов 2.0 \ aoltb.dll
O2 - BHO: Мнение инструментов BHO - (A7327C09-B521-4EDB-8509-7D2660C9EC98) - C: \ Program Files \ Мнение \ Мнение инструментов \ 3.8.0 \ ViewBarBHO.dll
O2 - BHO: панель инструментов Google помощнике - (AA58ED58-01DD-4d91-8333-CF10577473F7) - C: \ Program Files \ Google \ googletoolbar2.dll
O2 - BHO: Adobe PDF конверсии инструментов помощнике - (AE7CD045-E861-484f-8273-0445EE161910) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O2 - BHO: панель инструментов Google оповещения BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 3.1.807.1746 \ SW g.dll
O2 - BHO: SmartSelect - (F4971EE7-DAA0-4053-9964-665D8EE6A077) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O3 - инструментов: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Устанавливает \ КПН \ yt.dll
O3 - Панель инструментов: И Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - C: \ Program Files \ Google \ googletoolbar2.dll
O3 - инструментов: AOL Toolbar - (DE9C389F-3316-41A7-809B-AA305ED9D922) - C: \ Program Files \ AOL \ AOL инструментов 2.0 \ aoltb.dll
O3 - Панель инструментов: Точка зрения Toolbar - (F8AD5AA5-D966-4667-9DAF-2561D68B2012) - C: \ Program Files \ Common Files \ Мнение \ инструментов Runtime \ 3.8.0 \ IEViewBar.dll
O3 - инструменты: Adobe PDF - (47833539-D0C5-4125-9FA8-0819E2EAAC93) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [RoxioEngineUtility] "C: \ Program Files \ Common Files \ Roxio Shared \ System \ EngUtil.exe"
O4 - HKLM \ .. \ Run: [RoxioAudioCentral] "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe"
O4 - HKLM \ .. \ Run: [звукорежиссер] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM \ .. \ Run: [SiSPower] Rundll32.exe SiSPower.dll, ModeAgent
O4 - HKLM \ .. \ Run: [SiS Windows KeyHook] C: \ WINDOWS \ system32 \ keyhook.exe
O4 - HKLM \ .. \ Run: [SiSUSBRG] C: \ WINDOWS \ SiSUSBrg.exe
O4 - HKLM \ .. \ Run: [Apoint] C: \ Program Files \ Apoint2K \ Apoint.exe
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [DSFHost] C: \ Program Files \ Стейплс \ easyprint \ dsfhost.exe
O4 - HKLM \ .. \ Run: [Синхронизация менеджер]% SystemRoot% \ system32 \ mobsync.exe / вход
O4 - HKLM \ .. \ Run: [Zune Запуск] "C: \ Program Files \ Zune \ ZuneLauncher.exe"
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader быстрого запуска] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ Program Files \ Common Files \ Nero \ Lib \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [NBKeyScan] "C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBKeyScan.exe"
O4 - HKLM \ .. \ Run: [Adobe Acrobat быстрого запуска] "C: \ Program Files \ Adobe \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe"
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] C: \ WINDOWS \ system32 \ LSSMON.EXE
O4 - HKLM \ .. \ Run: [Диспетчер очереди печати] C: \ WINDOWS \ system32 \ SPOOLER.EXE
O4 - HKCU \ .. \ Run: [SWG] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKCU \ .. \ Run: [QuickTime Целевая] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKCU \ .. \ Run: [H / PC Соединение Агент] "C: \ Program Files \ Microsoft ActiveSync \ wcescomm.exe"
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F -39A1E5104020
O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search Destroy И \ TeaTimer.exe
O4 - HKCU \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Adobe \ обновлений \ AdobeUpdater.exe
O4 - HKLM \ .. \ Policies \ Explorer \ Run: [LocalSecurityAuthoritySubsystem] C: \ WINDOWS \ lsass.exe
O4 - запуск: Adobe Gamma.lnk = C: \ Program Files \ Common Files \ Adobe \ Калибровка \ Adobe Gamma Loader.exe
O4 - запуск: OneNote 2007 Экран Clipper и Launcher.lnk = C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE
О4 - Глобальный запуск: Windows Desktop Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Дополнительные пункт контекстного меню: И AOL инструментов поиска - C: \ Program Files \ AOL \ AOL Toolbar 2.0 \ Resources \ EN-US \ Local \ search.html
O8 - Дополнительные пункт контекстного меню: Добавить ссылку Задача к существующим PDF - Res: / / C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppendSelLinks.html
O8 - Дополнительные контекстном меню пункт: добавить к существующим PDF - Res: / / C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppend.html
O8 - Дополнительные пункт контекстного меню: Преобразовать ссылка цель Adobe PDF - Res: / / C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECaptureSelLinks.html
O8 - Дополнительные пункт контекстного меню: Преобразовать в Adobe PDF - Res: / / C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECapture.html
O8 - Дополнительные контекстном меню пункт: E И Экспортировать в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Дополнительные кнопки: (без названия) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ ssv.dll
O9 - Экстра "Сервис" MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ Bin \ ssv.dll
O9 - Дополнительные кнопки: Отправить в OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Экстра "Сервис" MENUITEM: S И конец OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Дополнительные кнопки: Создание мобильных Любимый - (2EAF5BB1-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Дополнительные кнопки: (без названия) - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Экстра "Сервис" MENUITEM: Создание мобильных Любимый ... - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Дополнительные кнопки: AOL Toolbar - (3369AF0D-62E9-4bda-8103-B4C75499B578) - C: \ Program Files \ AOL \ AOL инструментов 2.0 \ aoltb.dll
O9 - Дополнительные кнопки: Исследования - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Дополнительные кнопки: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - C: \ Program Files \ AIM \ aim.exe
O9 - Дополнительные кнопки: (без названия) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Экстра "Сервис" MENUITEM: Spybot - Search Destroy И Конфигурация - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Дополнительные кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Экстра "Сервис" MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.averatec.com
O16 - DPF: (0D6BB8B8-0257-420C-B9EB-CFA90DB1026C) -- http://svrnsec01.purchase.edu:88/setup.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl класс) -- http://v5.windowsupdate.microsoft.co...?1096453339343
O18 - Протокол: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ GR99D3 ~ 1.DLL
O18 - Протокол: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Adobe Л.М. служба - Adobe Systems - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Службы \ Adobelmsvc.exe
O23 - Service: Apple мобильных устройств - Apple инк - C: \ Program Files \ Common Files \ Apple \ мобильных устройств Поддержка \ Bin \ AppleMobileDeviceService.exe
O23 - Service: Автоматический LiveUpdate Планировщиком - Symantec Corporation - C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
O23 - Service: Bonjour Сервис - Apple инк - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Symantec Событие Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe
O23 - Service: CSIScanner - Prevx - C: \ Program Files \ PrevxCSI \ prevxcsi.exe
O23 - Service: Symantec AntiVirus Определение Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: FLEXnet Лицензирование услуг - Macrovision Европы ООО - C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet Издательство \ FNPLicensingService.exe
O23 - Service: Google обновлений обслуживания (gusvc) - Google - C: \ Program Files \ Google \ Common \ Google обновлений \ GoogleUpdaterService.exe
O23 - Service: InstallDriver Таблица Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Служба IPod - Apple инк - C: \ Program Files \ IPod \ Bin \ iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Nero BackItUp Планировщиком 3 - Nero AG - C: \ Program Files \ Nero \ Nero8 \ Nero BackItUp \ NBService.exe
O23 - Service: NMIndexingService - Nero AG - C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Сервис - Prolific технологии инк - C: \ WINDOWS \ system32 \ IoctlSvc.exe
O23 - Service: безопасный доступ агент (SafeAccessAgent) - StillSecure - C: \ Program Files \ StillSecure \ безопасный доступ Agent \ SAService.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Сеть обслуживания водителей (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: SymWMI обслуживания (SymWSC) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ Security Center \ SymWSC.exe
O23 - Service: Мнение Руководитель службы - Мнение Corporation - C: \ Program Files \ Мнение \ Common \ ViewpointService.exe

--
Конец файла - 14719 байт

**evilfantasy** · #8 23 сен 2008, 10:25

Загрузка Malwarebytes "Анти-вредоносных программ (MBAM)

Дважды щелкните mbam-setup.exe и следуйте инструкциям для установки программы.
В конце концов, обязательно отметьте это рядом со следующим:
- Обновление Malwarebytes "Анти-вредоносных программ
- Ракета Malwarebytes "Анти-вредоносных программ
Затем нажмите Готово.
Если обновление будет найден, он будет загрузить и установить последнюю версию.
После того как программа загрузится, выберите Выполняйте быстрое сканирование, Затем нажмите кнопку Сканирование.
Когда сканирование завершено, нажмите кнопку OK, А затем Показать результаты Для просмотра результатов.
Будьте уверены, что все проверяется, и нажмите Удалить выбранные.
Когда дезинфекция закончится, журнал будет открыт в "Блокнот", и может появиться запрос на перезагрузку. (См. Дополнительное примечание)
В журнал автоматически сохраняется в MBAM и можно посмотреть, нажав на вкладку "Журналы MBAM.
Копировать и вставить весь доклад в следующем ответе.

Дополнительные Примечание: Если MBAM встреч файл, который трудно удалить, то вам будет предложен 1 2 подсказкам, нажмите "ОК", чтобы либо позволить MBAM и приступить к процессу дезинфекции, если запрос на перезагрузку компьютера, пожалуйста, сделайте это немедленно.

----------

Теперь запускаем новый HijackThis и после сканирования журнала вместе с MBAM журнала.

Аналогичные нитки
Нить	Резьба для начинающих	Форум	Ответы	Последнее сообщение
Помощь уборка инфицированных ПК	veritas9	Вирусов, программ-шпионов И Безопасности	52	11 января 2009 15:12
Lsassmgr.exe	Lovelyeyes	Вирусов, программ-шпионов И Безопасности	4	21 декабря 2008 13:28
LSASSMGR.exe	Sparky1567	Вирусов, программ-шпионов И Безопасности	1	16 Sep 2008 11:48
LSSMON.exe LSASSMGR.exe и srtsrv.exe	krellda	Вирусов, программ-шпионов И Безопасности	8	15 Sep 2008 12:58

Резьба Инструменты
Показать Версия для печати Email эта страница