Full Version: проверьте логи пожалуйста
вирусы обнаружены, но не удаляются
В логах чисто.Попробуйте удалить угрозы из списка найденных угроз.
удаляются, но при следующем рестарте опять в списке
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
QUOTE(advss @ 1.11.2009 19:29) 
удаляются, но при следующем рестарте опять в списке
Вы не перепутали угрозы и уязвимости случайно?Окно с найденными угрозами покажите
картинка, помогите плз, что делать дальше
ComboFix
ComboFix 09-10-30.01 - Admin 02.11.2009 1:02.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.255.85 [GMT 3:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Admin\Њ®Ё ¤®Єг¬Ґвл\cc_20091015_143150.reg
.
---- Previous Run -------
.
c:\documents and settings\Admin\Application Data\AdSubscribe\AdSubscribe.dat
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\1.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\10.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\11.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\12.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\13.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\14.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\15.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\2.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\3.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\4.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\5.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\6.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\7.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\8.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\9.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\feed.xml
c:\documents and settings\Admin\Application Data\FieryAds\FieryAdsUninstall.exe
c:\documents and settings\Admin\Application Data\wiaserva.log
c:\documents and settings\Admin\Њ®Ё ¤®Єг¬Ґвл\cc_20091015_143150.reg
c:\windows\logfile32.txt
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_FCI
((((((((((((((((((((((((( Files Created from 2009-10-01 to 2009-11-01 )))))))))))))))))))))))))))))))
.
2009-10-30 01:08 . 2009-10-30 01:09 -------- d-----w- c:\documents and settings\Admin\Application Data\Yandex
2009-10-30 01:06 . 2009-10-30 01:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Mozilla Firefox
2009-10-24 13:40 . 2009-10-24 13:40 2809072 ----a-w- c:\windows\system32\yandexDreamsSaver.scr
2009-10-16 15:44 . 2009-10-16 15:44 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-10-16 15:39 . 2009-10-16 15:51 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-16 15:39 . 2009-10-16 15:51 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-16 15:35 . 2009-11-01 22:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-10-08 14:01 . 2009-10-08 14:01 -------- d-----w- c:\program files\CCleaner
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-01 21:46 . 2008-04-15 12:00 76880 ----a-w- c:\windows\system32\perfc019.dat
2009-11-01 21:46 . 2008-04-15 12:00 448696 ----a-w- c:\windows\system32\perfh019.dat
2009-11-01 19:37 . 2009-01-14 21:26 -------- d-----w- c:\documents and settings\Admin\Application Data\uTorrent
2009-10-20 19:40 . 2009-04-11 18:26 34872 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-16 15:51 . 2009-05-24 11:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-10-16 15:35 . 2007-03-11 17:50 -------- d-----w- c:\program files\Kaspersky Lab
2009-10-16 15:29 . 2007-03-11 17:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-10-16 04:06 . 2008-04-15 12:00 14336 ----a-w- c:\windows\system32\svchost.exe
.
------- Sigcheck -------
[-] 2008-08-19 . A0792870931EB78283157EBBAB8EAEE9 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-08-19 . 12C93B7A07D53F41AF31E3AE2276328D . 80584 . . [7.2.6001.784] . . c:\windows\system32\wuauclt.exe
[-] 2008-08-19 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2008-08-19 . 40B6EA7C0D015C1C7589D6C522E6788C . 952832 . . [7.00.6000.20861] . . c:\windows\system32\wininet.dll
[-] 2008-08-19 . 62EA07EDF5E3F3FF34EFF9BF7619BC64 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-08-21 . 66452823532746FA58EFEDBA320F46A2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2008-08-19 . B8B35F99DADAA5459FBA639F20045FE2 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avp"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-08-19 30208]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" - c:\windows\system32\advpack.dll [2008-08-19 124928]
"IE7_012"="advpack.dll" - c:\windows\system32\advpack.dll [2008-08-19 124928]
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 19:41 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 16:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 19:59 19472]
S4 Afdmssuarw;Afdmssuarw;c:\windows\system32\drivers\ss_whnt.sys [19.06.2009 22:28 5808]
--- Other Services/Drivers In Memory ---
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.rambler.ru/ri6
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Добавить в Rambler-Закладки - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/zakladki.htm
IE: Найти с помощью Рамблера - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
IE: Перевести с помощью словарей Рамблера - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\im9ba7dl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/?clid=50367&yasoft=barff
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-02 01:13
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys speh.sys >>UNKNOWN [0x82397938]<<
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
atapi.sys @ 0x0 0x0 bytes
\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF9745B40 atapi.sys
\Driver\atapi IRP hooks detected !
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\cscui.dll
- - - - - - - > 'lsass.exe'(1048)
c:\windows\system32\SETUPAPI.dll
.
Completion time: 2009-11-01 1:16
ComboFix-quarantined-files.txt 2009-11-01 22:15
Pre-Run: 28 072 927 232 байт свободно
Post-Run: 28 047 798 272 байт свободно
- - End Of File - - 58A4538BCE493730F27FD26D505B6CDA
ComboFix 09-10-30.01 - Admin 02.11.2009 1:02.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.255.85 [GMT 3:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Admin\Њ®Ё ¤®Єг¬Ґвл\cc_20091015_143150.reg
.
---- Previous Run -------
.
c:\documents and settings\Admin\Application Data\AdSubscribe\AdSubscribe.dat
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\1.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\10.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\11.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\12.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\13.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\14.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\15.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\2.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\3.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\4.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\5.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\6.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\7.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\8.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\9.jpg
c:\documents and settings\Admin\Application Data\AdSubscribe\Feed\feed.xml
c:\documents and settings\Admin\Application Data\FieryAds\FieryAdsUninstall.exe
c:\documents and settings\Admin\Application Data\wiaserva.log
c:\documents and settings\Admin\Њ®Ё ¤®Єг¬Ґвл\cc_20091015_143150.reg
c:\windows\logfile32.txt
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_FCI
((((((((((((((((((((((((( Files Created from 2009-10-01 to 2009-11-01 )))))))))))))))))))))))))))))))
.
2009-10-30 01:08 . 2009-10-30 01:09 -------- d-----w- c:\documents and settings\Admin\Application Data\Yandex
2009-10-30 01:06 . 2009-10-30 01:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Mozilla Firefox
2009-10-24 13:40 . 2009-10-24 13:40 2809072 ----a-w- c:\windows\system32\yandexDreamsSaver.scr
2009-10-16 15:44 . 2009-10-16 15:44 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
2009-10-16 15:39 . 2009-10-16 15:51 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-16 15:39 . 2009-10-16 15:51 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-16 15:35 . 2009-11-01 22:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-10-08 14:01 . 2009-10-08 14:01 -------- d-----w- c:\program files\CCleaner
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-01 21:46 . 2008-04-15 12:00 76880 ----a-w- c:\windows\system32\perfc019.dat
2009-11-01 21:46 . 2008-04-15 12:00 448696 ----a-w- c:\windows\system32\perfh019.dat
2009-11-01 19:37 . 2009-01-14 21:26 -------- d-----w- c:\documents and settings\Admin\Application Data\uTorrent
2009-10-20 19:40 . 2009-04-11 18:26 34872 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-16 15:51 . 2009-05-24 11:30 128016 ----a-w- c:\windows\system32\drivers\kl1.sys
2009-10-16 15:35 . 2007-03-11 17:50 -------- d-----w- c:\program files\Kaspersky Lab
2009-10-16 15:29 . 2007-03-11 17:33 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-10-16 04:06 . 2008-04-15 12:00 14336 ----a-w- c:\windows\system32\svchost.exe
.
------- Sigcheck -------
[-] 2008-08-19 . A0792870931EB78283157EBBAB8EAEE9 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-08-19 . 12C93B7A07D53F41AF31E3AE2276328D . 80584 . . [7.2.6001.784] . . c:\windows\system32\wuauclt.exe
[-] 2008-08-19 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[-] 2008-08-19 . 40B6EA7C0D015C1C7589D6C522E6788C . 952832 . . [7.00.6000.20861] . . c:\windows\system32\wininet.dll
[-] 2008-08-19 . 62EA07EDF5E3F3FF34EFF9BF7619BC64 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
[-] 2008-08-21 . 66452823532746FA58EFEDBA320F46A2 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
[-] 2008-08-19 . B8B35F99DADAA5459FBA639F20045FE2 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avp"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-05-25 303376]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-08-19 30208]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" - c:\windows\system32\advpack.dll [2008-08-19 124928]
"IE7_012"="advpack.dll" - c:\windows\system32\advpack.dll [2008-08-19 124928]
c:\documents and settings\All Users\Application Data\Microsoft\Shortcuts\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [15.12.2008 19:41 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [13.05.2009 16:46 31760]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [16.05.2009 19:59 19472]
S4 Afdmssuarw;Afdmssuarw;c:\windows\system32\drivers\ss_whnt.sys [19.06.2009 22:28 5808]
--- Other Services/Drivers In Memory ---
*Deregistered* - CLASSPNP_2
*Deregistered* - mbr
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.rambler.ru/ri6
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Добавить в Rambler-Закладки - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/zakladki.htm
IE: Найти с помощью Рамблера - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/search.htm
IE: Перевести с помощью словарей Рамблера - c:\program files\Rambler Assistant\ramblertoolbarU0.dll/dic.htm
FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\im9ba7dl.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/?clid=50367&yasoft=barff
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-02 01:13
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys speh.sys >>UNKNOWN [0x82397938]<<
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
atapi.sys @ 0x0 0x0 bytes
\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF9745B40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF9745B40 atapi.sys
\Driver\atapi IRP hooks detected !
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(992)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\cscui.dll
- - - - - - - > 'lsass.exe'(1048)
c:\windows\system32\SETUPAPI.dll
.
Completion time: 2009-11-01 1:16
ComboFix-quarantined-files.txt 2009-11-01 22:15
Pre-Run: 28 072 927 232 байт свободно
Post-Run: 28 047 798 272 байт свободно
- - End Of File - - 58A4538BCE493730F27FD26D505B6CDA
Почистите временную папку, кэш браузера.Сделайте логи avz.
комп начал больше тупить, когда делал логи и отключал КИС, было предупреждение о том, что будет разорвано 9 сетевых подключений. Хотя я не загружал браузер.
В логе обнаружены следы DrWeb. Удаляйте (или зачищайте следы)
QUOTE(thyrex @ 3.11.2009 09:47)
В логе обнаружены следы DrWeb. Удаляйте (или зачищайте следы)
DrWeb - точно нет, извиняюсь за свою некомпетентность, а как лучше зачистить следы?
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.