Full Version: Пропал звук
Здравствуйте. У моей подруги пропал звук неожиданно но компе. Есть подозрения на вирусы.. вот логи:
выполните скрипт
такой http://www.gmer.net/ лог сделайте
CODE
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-3779393914-8839990831-821583122-9887\winvcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\RECYCLER\S-1-5-21-3779393914-8839990831-821583122-9887\winvcs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
такой http://www.gmer.net/ лог сделайте
Лог файл GMER
Сделайте лог avz
Лог avz
Выполните скрипт в avz
ПК перезагрузится.
сделаете лог virusinfo_syscheck
CODE
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
ПК перезагрузится.
сделаете лог virusinfo_syscheck
Лог:
Выполните скрипт в avz
ПК перезагрузится.
сделаете новый лог новый virusinfo_syscheck
CODE
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RebootWindows(true);
end.
ПК перезагрузится.
сделаете новый лог новый virusinfo_syscheck
Лог:
Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Звук появился после переустановки драйверов. А как отключить антивирус? Он не отключается.. Авира стоит.
Кликаем правой клавишей по иконке программы, далее "Antivir Guard Enable". Также отключение можно осуществить, открыв основное окно программы и кликнув "Отключить" напротив соответствующей опции. Зонтик на иконке в трее должен закрыться. Если это произошло, то вы приостановили антивирусную защиту.
При сканировании Комп отключился после запуска компьютера, он снова открыл свое окно и авира сказала что это вирус... что делать?
ComboFix 09-11-02.02 - PC 03.11.2009 21:38.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1478 [GMT 3:00]
Running from: c:\documents and settings\PC\Мои документы\Загрузки\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
c:\recycled\Df1
c:\recycled\Df2
c:\recycled\Df3
c:\recycled\Df31
c:\recycled\Df32
c:\recycled\Df33
c:\recycled\Df34
c:\recycled\Df37
c:\recycled\Df4.tmp
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1859
c:\recycler\S-1-5-21-3779393914-8839990831-821583122-9887
c:\recycler\S-1-5-21-5713376283-1743727553-245167420-2994
c:\recycler\S-1-5-21-8779185148-0162307840-220543418-2420
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.
2009-11-03 06:35 . 2004-05-27 15:14 28672 ----a-w- c:\windows\system32\sysunima.exe
2009-11-03 06:35 . 2009-11-03 06:35 -------- d-----w- C:\PABCWork
2009-11-03 06:35 . 2009-11-03 06:35 -------- d-----w- c:\program files\PABC
2009-11-01 16:19 . 2009-11-01 16:19 -------- d-----w- c:\program files\CCleaner
2009-11-01 16:16 . 2009-10-22 11:35 3309072 ----a-w- C:\ccsetup224.exe
2009-11-01 15:48 . 2009-11-01 15:48 -------- d-----w- c:\documents and settings\PC\Application Data\TeamViewer
2009-10-19 07:49 . 2009-10-19 07:49 -------- d-----w- c:\program files\Grad-Nk
2009-10-16 19:21 . 2009-10-16 19:21 -------- d-----w- c:\documents and settings\PC\Local Settings\Application Data\WMTools Downloaded Files
2009-10-07 19:31 . 2009-10-07 19:31 -------- d-----w- c:\documents and settings\PC\Local Settings\Application Data\Help
2009-10-06 10:56 . 2009-10-06 10:56 -------- d-----w- c:\program files\LRC Editor 4
2009-10-06 10:55 . 2009-10-06 10:55 -------- d-----w- c:\program files\MP3 Player Utilities 1.47
2009-10-06 10:52 . 2009-10-06 10:52 -------- d-----w- c:\program files\MP3 Player Utilities 4.04
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 18:59 . 2009-09-27 16:33 -------- d-----w- c:\documents and settings\PC\Application Data\Skype
2009-11-03 16:31 . 2009-09-27 12:57 -------- d-----w- c:\documents and settings\PC\Application Data\skypePM
2009-11-03 04:40 . 2007-11-26 14:42 -------- d-----w- c:\program files\Realtek
2009-11-03 04:40 . 2004-10-09 09:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-03 04:40 . 2009-09-19 07:24 -------- d-----w- c:\program files\VIA
2009-11-02 12:14 . 2009-09-27 14:50 -------- d-----w- c:\documents and settings\PC\Application Data\Mra
2009-10-29 14:08 . 2009-10-01 17:10 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
2009-10-25 03:06 . 2001-10-20 08:00 71192 ----a-w- c:\windows\system32\perfc019.dat
2009-10-25 03:06 . 2001-10-20 08:00 435876 ----a-w- c:\windows\system32\perfh019.dat
2009-10-16 16:54 . 2007-12-08 09:55 69288 ----a-w- c:\documents and settings\PC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 19:18 . 2009-09-27 14:50 -------- d-----w- c:\program files\Mail.Ru
2009-10-03 14:46 . 2009-10-03 14:46 -------- d-----w- c:\program files\Selteco
2009-10-02 11:30 . 2009-09-19 12:46 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-10-02 11:30 . 2009-09-30 09:57 -------- d-----w- c:\program files\AGEIA Technologies
2009-10-01 17:51 . 2009-10-01 17:51 -------- d-----w- c:\program files\QIP
2009-10-01 17:14 . 2009-10-01 17:14 -------- d-----w- c:\program files\Microsoft Works
2009-10-01 17:14 . 2009-10-01 17:14 -------- d-----w- c:\program files\MSBuild
2009-10-01 17:13 . 2009-10-01 17:13 -------- d-----w- c:\program files\Microsoft.NET
2009-10-01 17:11 . 2009-10-01 17:11 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2009-09-30 10:16 . 2009-09-30 10:14 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2009-09-30 10:13 . 2009-09-30 10:13 -------- d-----w- c:\program files\OpenAL
2009-09-30 10:13 . 2009-09-19 07:42 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2009-09-30 10:13 . 2009-09-19 07:42 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2009-09-29 16:00 . 2009-09-29 16:00 -------- d-----w- c:\documents and settings\PC\Application Data\CyberLink
2009-09-29 15:59 . 2009-09-29 15:59 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\CyberLink
2009-09-28 07:53 . 2009-09-28 07:53 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Cabela's® Big Game Hunter III Saves
2009-09-27 16:31 . 2009-09-27 16:26 -------- d-----w- c:\documents and settings\PC\Application Data\ICQ
2009-09-27 16:27 . 2009-09-27 16:27 -------- d-----w- c:\program files\ICQ6Toolbar
2009-09-27 16:27 . 2009-09-27 16:27 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ICQ
2009-09-27 16:22 . 2009-09-27 16:22 -------- d-----w- c:\program files\Opera
2009-09-27 16:11 . 2009-09-27 15:44 1396400 ----a-w- c:\windows\system32\AutoPartNt.exe
2009-09-27 15:54 . 2009-09-27 15:54 -------- d-----w- c:\program files\RDTC
2009-09-27 15:36 . 2009-09-27 15:36 -------- d-----w- c:\program files\KMPlayer
2009-09-27 15:35 . 2009-09-27 15:35 0 ----a-w- c:\windows\nsreg.dat
2009-09-27 15:34 . 2009-09-27 15:34 -------- d-----w- c:\program files\TrafInsp
2009-09-27 15:33 . 2009-09-27 15:33 114048 ----a-w- c:\windows\system32\drivers\snapman.sys
2009-09-27 15:33 . 2009-09-27 15:33 -------- d-----w- c:\program files\Common Files\Acronis
2009-09-27 15:33 . 2009-09-27 15:33 -------- d-----w- c:\program files\Acronis
2009-09-27 15:12 . 2009-09-27 15:12 -------- d-----w- c:\documents and settings\PC\Application Data\CommFort
2009-09-27 15:12 . 2009-09-27 15:12 -------- d-----w- c:\program files\CommFort
2009-09-27 15:11 . 2009-09-27 15:11 -------- d-----w- c:\program files\Avira
2009-09-27 15:11 . 2009-09-27 15:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-09-27 14:55 . 2009-09-27 14:55 -------- d-----w- c:\program files\Winamp
2009-09-27 14:54 . 2009-09-27 14:54 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-09-27 14:51 . 2009-09-27 14:51 -------- d-----w- c:\program files\FLV Player
2009-09-27 14:51 . 2009-09-27 14:51 541184 ----a-w- c:\windows\system32\Underworld Evolution.scr
2009-09-27 14:51 . 2009-09-27 14:51 541184 ----a-w- c:\windows\system32\Underworld Evolution.exe
2009-09-27 13:44 . 2009-09-27 13:44 -------- d-----w- c:\program files\Common Files\Skype
2009-09-27 13:44 . 2009-09-27 13:44 -------- d-----r- c:\program files\Skype
2009-09-27 13:44 . 2009-09-27 16:32 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Skype
2009-09-27 12:57 . 2009-09-27 12:57 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-19 14:14 . 2009-09-19 14:14 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Cabela's Big Game Hunter - Alaskan Adventure Saves
2009-09-19 14:12 . 2009-09-19 14:12 -------- d-----w- c:\program files\Cabelas Big Game Hunter 2007
2009-09-19 14:05 . 2009-09-19 14:05 -------- d-----w- c:\program files\Cabelas Big Game Hunter 2009
2009-09-19 13:16 . 2009-09-19 13:16 -------- d-----w- c:\program files\Cabela's Big Game Hunter 2005 Adventures
2009-09-19 12:42 . 2009-09-19 12:42 -------- d-----w- c:\program files\Darkest of Days
2009-09-19 08:46 . 2009-09-19 08:46 -------- d-----w- c:\documents and settings\PC\Application Data\Gearbox Software
2009-09-19 07:41 . 2009-09-19 07:41 -------- d-----w- c:\program files\Futuremark
2009-09-19 07:27 . 2009-09-19 07:27 0 ----a-w- c:\windows\ativpsrm.bin
2009-09-18 10:46 . 2009-09-18 10:46 -------- d-----w- c:\program files\1C
2009-09-04 13:44 . 2009-10-02 11:30 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2009-09-04 13:44 . 2009-10-02 11:30 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2009-09-04 13:44 . 2009-09-19 12:43 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-09-04 13:29 . 2009-10-02 11:30 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2009-08-14 09:36 . 2009-08-14 09:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
.
------- Sigcheck -------
[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CommFort client"="c:\program files\CommFort\CommFort.exe" [2009-07-16 4361216]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-17 1667584]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-08-07 573440]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-08-15 30003200]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-26 2227256]
"trafinspag.exe"="c:\program files\TrafInsp\Agent\trafinspag.exe" [2008-03-21 885760]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"MAgent"="c:\program files\Mail.Ru\Agent\MAgent.exe" [2009-10-10 5603000]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-12-13 88204]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-06-28 1626112]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2007-02-05 176128]
"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-05-15 200704]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-04-04 1822720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
path=c:\documents and settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [16.02.2008 13:02 89749]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [25.01.2008 10:38 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [25.01.2008 10:38 52224]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 18:11 108289]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [27.09.2009 19:27 222456]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [25.05.2009 13:02 24576]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [19.09.2009 10:25 845184]
S3 acdev;acdev;c:\program files\RDTC\Counter-Strike 1.6 RDTC Edition v.3.0 Install Program\acdev.sys [04.08.2009 16:22 117290]
S3 ALLOW-IO;ALLOW-IO;\??\d:\allow-io.sys --> d:\ALLOW-IO.sys [?]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [07.01.2002 20:26 38656]
S3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [25.01.2008 10:31 714240]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [25.05.2009 13:02 1260672]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?clid=40488
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.166&LastError=12007
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.04\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.04\MediaManager\grab.html
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
TCP: {8F93E10A-A6F0-4CD5-94A4-E1F113B3D38D} = 192.168.0.1
FF - ProfilePath - c:\documents and settings\PC\Application Data\Mozilla\Firefox\Profiles\pry7qem1.default\
FF - prefs.js: browser.search.selectedEngine - QIP Search
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/?clid=40488
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\program files\K-Lite Codec Pack\real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\real\browser\plugins\nprpjplug.dll
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-SigmatelSysTrayApp - sttray.exe
AddRemove-HijackThis - c:\documents and settings\PC\Рабочий стол\HiJackThis\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 22:09
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\athgina.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\igfxdev.dll
.
Completion time: 2009-11-03 22:10
ComboFix-quarantined-files.txt 2009-11-03 19:10
Pre-Run: 686 702 530 560 байт свободно
Post-Run: 686 708 449 280 байт свободно
- - End Of File - - ACE7953BDBF84D30A5F6B7ECAA4DCFC1
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1478 [GMT 3:00]
Running from: c:\documents and settings\PC\Мои документы\Загрузки\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
c:\recycled\Df1
c:\recycled\Df2
c:\recycled\Df3
c:\recycled\Df31
c:\recycled\Df32
c:\recycled\Df33
c:\recycled\Df34
c:\recycled\Df37
c:\recycled\Df4.tmp
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1859
c:\recycler\S-1-5-21-3779393914-8839990831-821583122-9887
c:\recycler\S-1-5-21-5713376283-1743727553-245167420-2994
c:\recycler\S-1-5-21-8779185148-0162307840-220543418-2420
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.
2009-11-03 06:35 . 2004-05-27 15:14 28672 ----a-w- c:\windows\system32\sysunima.exe
2009-11-03 06:35 . 2009-11-03 06:35 -------- d-----w- C:\PABCWork
2009-11-03 06:35 . 2009-11-03 06:35 -------- d-----w- c:\program files\PABC
2009-11-01 16:19 . 2009-11-01 16:19 -------- d-----w- c:\program files\CCleaner
2009-11-01 16:16 . 2009-10-22 11:35 3309072 ----a-w- C:\ccsetup224.exe
2009-11-01 15:48 . 2009-11-01 15:48 -------- d-----w- c:\documents and settings\PC\Application Data\TeamViewer
2009-10-19 07:49 . 2009-10-19 07:49 -------- d-----w- c:\program files\Grad-Nk
2009-10-16 19:21 . 2009-10-16 19:21 -------- d-----w- c:\documents and settings\PC\Local Settings\Application Data\WMTools Downloaded Files
2009-10-07 19:31 . 2009-10-07 19:31 -------- d-----w- c:\documents and settings\PC\Local Settings\Application Data\Help
2009-10-06 10:56 . 2009-10-06 10:56 -------- d-----w- c:\program files\LRC Editor 4
2009-10-06 10:55 . 2009-10-06 10:55 -------- d-----w- c:\program files\MP3 Player Utilities 1.47
2009-10-06 10:52 . 2009-10-06 10:52 -------- d-----w- c:\program files\MP3 Player Utilities 4.04
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-03 18:59 . 2009-09-27 16:33 -------- d-----w- c:\documents and settings\PC\Application Data\Skype
2009-11-03 16:31 . 2009-09-27 12:57 -------- d-----w- c:\documents and settings\PC\Application Data\skypePM
2009-11-03 04:40 . 2007-11-26 14:42 -------- d-----w- c:\program files\Realtek
2009-11-03 04:40 . 2004-10-09 09:25 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-11-03 04:40 . 2009-09-19 07:24 -------- d-----w- c:\program files\VIA
2009-11-02 12:14 . 2009-09-27 14:50 -------- d-----w- c:\documents and settings\PC\Application Data\Mra
2009-10-29 14:08 . 2009-10-01 17:10 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft Help
2009-10-25 03:06 . 2001-10-20 08:00 71192 ----a-w- c:\windows\system32\perfc019.dat
2009-10-25 03:06 . 2001-10-20 08:00 435876 ----a-w- c:\windows\system32\perfh019.dat
2009-10-16 16:54 . 2007-12-08 09:55 69288 ----a-w- c:\documents and settings\PC\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-10-10 19:18 . 2009-09-27 14:50 -------- d-----w- c:\program files\Mail.Ru
2009-10-03 14:46 . 2009-10-03 14:46 -------- d-----w- c:\program files\Selteco
2009-10-02 11:30 . 2009-09-19 12:46 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-10-02 11:30 . 2009-09-30 09:57 -------- d-----w- c:\program files\AGEIA Technologies
2009-10-01 17:51 . 2009-10-01 17:51 -------- d-----w- c:\program files\QIP
2009-10-01 17:14 . 2009-10-01 17:14 -------- d-----w- c:\program files\Microsoft Works
2009-10-01 17:14 . 2009-10-01 17:14 -------- d-----w- c:\program files\MSBuild
2009-10-01 17:13 . 2009-10-01 17:13 -------- d-----w- c:\program files\Microsoft.NET
2009-10-01 17:11 . 2009-10-01 17:11 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2009-09-30 10:16 . 2009-09-30 10:14 -------- d-----w- c:\program files\Microsoft Games for Windows - LIVE
2009-09-30 10:13 . 2009-09-30 10:13 -------- d-----w- c:\program files\OpenAL
2009-09-30 10:13 . 2009-09-19 07:42 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2009-09-30 10:13 . 2009-09-19 07:42 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2009-09-29 16:00 . 2009-09-29 16:00 -------- d-----w- c:\documents and settings\PC\Application Data\CyberLink
2009-09-29 15:59 . 2009-09-29 15:59 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\CyberLink
2009-09-28 07:53 . 2009-09-28 07:53 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Cabela's® Big Game Hunter III Saves
2009-09-27 16:31 . 2009-09-27 16:26 -------- d-----w- c:\documents and settings\PC\Application Data\ICQ
2009-09-27 16:27 . 2009-09-27 16:27 -------- d-----w- c:\program files\ICQ6Toolbar
2009-09-27 16:27 . 2009-09-27 16:27 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ICQ
2009-09-27 16:22 . 2009-09-27 16:22 -------- d-----w- c:\program files\Opera
2009-09-27 16:11 . 2009-09-27 15:44 1396400 ----a-w- c:\windows\system32\AutoPartNt.exe
2009-09-27 15:54 . 2009-09-27 15:54 -------- d-----w- c:\program files\RDTC
2009-09-27 15:36 . 2009-09-27 15:36 -------- d-----w- c:\program files\KMPlayer
2009-09-27 15:35 . 2009-09-27 15:35 0 ----a-w- c:\windows\nsreg.dat
2009-09-27 15:34 . 2009-09-27 15:34 -------- d-----w- c:\program files\TrafInsp
2009-09-27 15:33 . 2009-09-27 15:33 114048 ----a-w- c:\windows\system32\drivers\snapman.sys
2009-09-27 15:33 . 2009-09-27 15:33 -------- d-----w- c:\program files\Common Files\Acronis
2009-09-27 15:33 . 2009-09-27 15:33 -------- d-----w- c:\program files\Acronis
2009-09-27 15:12 . 2009-09-27 15:12 -------- d-----w- c:\documents and settings\PC\Application Data\CommFort
2009-09-27 15:12 . 2009-09-27 15:12 -------- d-----w- c:\program files\CommFort
2009-09-27 15:11 . 2009-09-27 15:11 -------- d-----w- c:\program files\Avira
2009-09-27 15:11 . 2009-09-27 15:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2009-09-27 14:55 . 2009-09-27 14:55 -------- d-----w- c:\program files\Winamp
2009-09-27 14:54 . 2009-09-27 14:54 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-09-27 14:51 . 2009-09-27 14:51 -------- d-----w- c:\program files\FLV Player
2009-09-27 14:51 . 2009-09-27 14:51 541184 ----a-w- c:\windows\system32\Underworld Evolution.scr
2009-09-27 14:51 . 2009-09-27 14:51 541184 ----a-w- c:\windows\system32\Underworld Evolution.exe
2009-09-27 13:44 . 2009-09-27 13:44 -------- d-----w- c:\program files\Common Files\Skype
2009-09-27 13:44 . 2009-09-27 13:44 -------- d-----r- c:\program files\Skype
2009-09-27 13:44 . 2009-09-27 16:32 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Skype
2009-09-27 12:57 . 2009-09-27 12:57 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-09-19 14:14 . 2009-09-19 14:14 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Cabela's Big Game Hunter - Alaskan Adventure Saves
2009-09-19 14:12 . 2009-09-19 14:12 -------- d-----w- c:\program files\Cabelas Big Game Hunter 2007
2009-09-19 14:05 . 2009-09-19 14:05 -------- d-----w- c:\program files\Cabelas Big Game Hunter 2009
2009-09-19 13:16 . 2009-09-19 13:16 -------- d-----w- c:\program files\Cabela's Big Game Hunter 2005 Adventures
2009-09-19 12:42 . 2009-09-19 12:42 -------- d-----w- c:\program files\Darkest of Days
2009-09-19 08:46 . 2009-09-19 08:46 -------- d-----w- c:\documents and settings\PC\Application Data\Gearbox Software
2009-09-19 07:41 . 2009-09-19 07:41 -------- d-----w- c:\program files\Futuremark
2009-09-19 07:27 . 2009-09-19 07:27 0 ----a-w- c:\windows\ativpsrm.bin
2009-09-18 10:46 . 2009-09-18 10:46 -------- d-----w- c:\program files\1C
2009-09-04 13:44 . 2009-10-02 11:30 515416 ----a-w- c:\windows\system32\XAudio2_5.dll
2009-09-04 13:44 . 2009-10-02 11:30 238936 ----a-w- c:\windows\system32\xactengine3_5.dll
2009-09-04 13:44 . 2009-09-19 12:43 69464 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-09-04 13:29 . 2009-10-02 11:30 235344 ----a-w- c:\windows\system32\d3dx11_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 453456 ----a-w- c:\windows\system32\d3dx10_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 5501792 ----a-w- c:\windows\system32\d3dcsx_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 1974616 ----a-w- c:\windows\system32\D3DCompiler_42.dll
2009-09-04 13:29 . 2009-10-02 11:30 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2009-08-14 09:36 . 2009-08-14 09:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll
.
------- Sigcheck -------
[-] 2004-09-17 . A975A70FCEFE2A224412214320C89DED . 503808 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CommFort client"="c:\program files\CommFort\CommFort.exe" [2009-07-16 4361216]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-17 1667584]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WiseStubReboot"="MSIEXEC" [X]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2005-11-11 1236992]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-06-28 81920]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-08-07 573440]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-08-15 30003200]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-26 2227256]
"trafinspag.exe"="c:\program files\TrafInsp\Agent\trafinspag.exe" [2008-03-21 885760]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"MAgent"="c:\program files\Mail.Ru\Agent\MAgent.exe" [2009-10-10 5603000]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2005-12-13 88204]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-06-28 1626112]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]
"VTTrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2007-02-05 176128]
"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2007-05-15 200704]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-10 16126464]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2007-04-04 1822720]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Microsoft Office.lnk]
path=c:\documents and settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;c:\windows\system32\drivers\SI3112r.sys [16.02.2008 13:02 89749]
R0 ViBus;ViBus;c:\windows\system32\drivers\ViBus.sys [25.01.2008 10:38 16896]
R0 ViPrt;VIA SATA IDE Device Driver;c:\windows\system32\drivers\ViPrt.sys [25.01.2008 10:38 52224]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [27.09.2009 18:11 108289]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [27.09.2009 19:27 222456]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [25.05.2009 13:02 24576]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [19.09.2009 10:25 845184]
S3 acdev;acdev;c:\program files\RDTC\Counter-Strike 1.6 RDTC Edition v.3.0 Install Program\acdev.sys [04.08.2009 16:22 117290]
S3 ALLOW-IO;ALLOW-IO;\??\d:\allow-io.sys --> d:\ALLOW-IO.sys [?]
S3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [07.01.2002 20:26 38656]
S3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [25.01.2008 10:31 714240]
S3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [25.05.2009 13:02 1260672]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?clid=40488
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Connection Wizard,ShellNext = hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.166&LastError=12007
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.04\AMVConverter\grab.html
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.04\MediaManager\grab.html
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
TCP: {8F93E10A-A6F0-4CD5-94A4-E1F113B3D38D} = 192.168.0.1
FF - ProfilePath - c:\documents and settings\PC\Application Data\Mozilla\Firefox\Profiles\pry7qem1.default\
FF - prefs.js: browser.search.selectedEngine - QIP Search
FF - prefs.js: browser.startup.homepage - hxxp://www.yandex.ru/?clid=40488
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\program files\K-Lite Codec Pack\real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\real\browser\plugins\nprpjplug.dll
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-SigmatelSysTrayApp - sttray.exe
AddRemove-HijackThis - c:\documents and settings\PC\Рабочий стол\HiJackThis\HijackThis.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 22:09
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\athgina.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\igfxdev.dll
.
Completion time: 2009-11-03 22:10
ComboFix-quarantined-files.txt 2009-11-03 19:10
Pre-Run: 686 702 530 560 байт свободно
Post-Run: 686 708 449 280 байт свободно
- - End Of File - - ACE7953BDBF84D30A5F6B7ECAA4DCFC1
Выполните скрипт в avz
quarantine.zip из папки AVZ отправьте на cherep12312345@mail.ru
CODE
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\sysunima.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('c:\windows\system32\sysunima.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на cherep12312345@mail.ru
Странный емаил) 
Отправил
Отправил
Файл который отправили чистый.Логи чисты.
А скажите пожалуйста ваше мнение на счет антивируса Авира? Стоит ли его оставить?
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.