Jump to content

Winlogon лезет куда не надо


Recommended Posts

Привет всем!

Мой Аутпост рапортует что после подключения к интернету, winlogon каждую минуту пытается законнектиться по 80 порту к login.fric.cn и swetr.com.

Если эту деятельность Аутпостом не блокировать, winlogon через некоторое время коннектится к ftp.mozilla.org и чето оттуда скачивает на 4мега.

Что это может быть? Мож так и надо?

Эвидой все почистил, Антихайджек ниче подозрительного не показывает....

Link to comment
Share on other sites

Привет всем!

Мой Аутпост рапортует что после подключения к интернету, winlogon каждую минуту пытается законнектиться по 80 порту к login.fric.cn и swetr.com.

Если эту деятельность Аутпостом не блокировать, winlogon через некоторое время коннектится к ftp.mozilla.org и чето оттуда скачивает на 4мега.

Что это может быть? Мож так и надо?

Эвидой все почистил, Антихайджек ниче подозрительного не показывает....

Можно на всякий случай посмотреть на лог HijackThis мне? ;)

И, кстати, на адрес swetr.com ходить не надо, там сидит червячок.

Link to comment
Share on other sites

проверься на червей и дрянь нету ли каких других шпионов и прочих нечестей это они качают чегото ;)

Link to comment
Share on other sites

Вот я и думаю - дело не чисто. Только как узнать - какой процесс через винлогоном пользуется?

Вот лог:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\WINDOWS\Integrator.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Opera\Opera.exe

C:\Program Files\Avant Browser\avant.exe

C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Рабочий стол\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.s3graphics.com/drivers.jsp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: AntiCrash.lnk = C:\Program Files\Dachshund Software\AntiCrash\AntiCrash.exe

O4 - Startup: Hare.lnk = C:\Program Files\Dachshund Software\Hare\Hare.exe

O4 - Startup: Zoom.lnk = C:\Program Files\Dachshund Software\Zoom\Zoom.exe

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with Lingvo - res://C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000

O8 - Extra context menu item: Блокировать все картинки с этого сервера - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Добавить в список блокируемой рекламы - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Открыть в новом окне Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Открыть все ссылки с этой страницы... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Подсветка - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Поиск - C:\Program Files\Avant Browser\Search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131788069888

O17 - HKLM\System\CCS\Services\Tcpip\..\{CADAF0B4-4CAB-4069-A50A-6C2FC8871489}: NameServer = 217.66.16.35 217.66.22.130

O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing)

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Link to comment
Share on other sites

Если не сложно, сделайте следующее:

Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section"

Далее, напротив "Generate StartupList log" нужно поставить галочки около "List also minor sections" (full) и "List empty sections (complete).

И затем нажать на кнопку "Generate StartupList log"

mm381z.jpg

Затем в появившемся окошке нажать "Yes".

И перед вами, а также в папке hijackthis, появится текстовый файл с названием startuplist.txt.

Вот на содержимое этого файла я бы и хотела посмотреть.

Link to comment
Share on other sites

Уважаемая, вот результат:

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe

C:\Program Files\Agnitum\Outpost Firewall\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MICROS~4\rapimgr.exe

C:\WINDOWS\Integrator.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Opera\Opera.exe

C:\Program Files\Avant Browser\avant.exe

C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Рабочий стол\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Главное меню\Программы\Автозагрузка]

Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

AntiCrash.lnk = C:\Program Files\Dachshund Software\AntiCrash\AntiCrash.exe

Hare.lnk = C:\Program Files\Dachshund Software\Hare\Hare.exe

Zoom.lnk = C:\Program Files\Dachshund Software\Zoom\Zoom.exe

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка]

*No files*

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ICQ Lite = "C:\Program Files\ICQLite\ICQLite.exe" -minimize

Lingvo Launcher = "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP

Outpost Firewall = C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice

OutpostFeedBack = C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup

LingvoTraining = "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

H/PC Connection Agent = "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\Program Files\ICQLite\ICQLite.exe -trayboot

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\system32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating Active Setup stub paths:

HKLM\Software\Microsoft\Active Setup\Installed Components

(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]

StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *

StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *

StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *

StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *

StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *

StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *

StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *

StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *

StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *

StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present

C:\WINDOWS\Explorer\Explorer.exe: not present

C:\WINDOWS\System\Explorer.exe: not present

C:\WINDOWS\System32\Explorer.exe: not present

C:\WINDOWS\Command\Explorer.exe: not present

C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)

.pif: HIDDEN! (arrow overlay: yes)

.exe: not hidden

.com: not hidden

.bat: not hidden

.hta: not hidden

.scr: not hidden

.shs: HIDDEN!

.shb: HIDDEN!

.vbs: not hidden

.vbe: not hidden

.wsh: not hidden

.scf: HIDDEN! (arrow overlay: NO!)

.url: HIDDEN! (arrow overlay: yes)

.js: not hidden

.jse: not hidden

--------------------------------------------------

Verifying REGEDIT.EXE integrity:

- Regedit.exe found in C:\WINDOWS

- .reg open command is normal (regedit.exe %1)

- Company name NOT OK: 'Корпорация Майкрософт'

- Original filename OK: 'REGEDIT.EXE'

- File description: 'Редактор реестра'

Registry check failed!

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll - {259F616C-A300-44F5-B04A-ED001A26C85C}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[ewidoOnlineScan Control]

InProcServer32 = C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL

CODEBASE = http://download.ewido.net/ewidoOnlineScan.cab

[Office Update Installation Engine]

InProcServer32 = C:\WINDOWS\opuc.dll

CODEBASE = http://office.microsoft.com/officeupdate/content/opuc3.cab

[{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}]

CODEBASE = http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

[WUWebControl Class]

InProcServer32 = C:\WINDOWS\system32\wuweb.dll

CODEBASE = http://update.microsoft.com/windowsupdate/...b?1131788069888

[Java Plug-in 1.5.0_01]

InProcServer32 = C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

[Java Plug-in 1.5.0_01]

InProcServer32 = C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

Protocol #12: C:\WINDOWS\system32\mswsock.dll

Protocol #13: C:\WINDOWS\system32\mswsock.dll

Protocol #14: C:\WINDOWS\system32\mswsock.dll

Protocol #15: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Драйвер Microsoft ACPI: system32\DRIVERS\ACPI.sys (system)

Outpost Firewall PlugIn (ADBLOCK.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\ADBLOCK.DLL (manual start)

Adobe LM Service: "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start)

Подавитель акустического эхо ядра системы: system32\drivers\aec.sys (manual start)

AFD: \SystemRoot\System32\drivers\afd.sys (system)

Оповещатель: %SystemRoot%\system32\svchost.exe -k LocalService (disabled)

Служба шлюза уровня приложения: %SystemRoot%\System32\alg.exe (manual start)

Управление приложениями: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Outpost Firewall PlugIn (ARP.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\ARP.DLL (manual start)

ASAPIW2K: system32\drivers\ASAPIW2k.sys (manual start)

ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)

Драйвер асинхронного носителя RAS: system32\DRIVERS\asyncmac.sys (manual start)

Standard IDE/ESDI Hard Disk Controller: system32\DRIVERS\atapi.sys (system)

Протокол клиента ATM ARP: system32\DRIVERS\atmarpc.sys (manual start)

Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Драйвер заглушки аудио: system32\DRIVERS\audstub.sys (manual start)

Драйвер Aztech 2320 Audio (WDM): system32\drivers\aztw2320.sys (manual start)

Фоновая интеллектуальная служба передачи (BITS): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Обозреватель компьютеров: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Драйвер CD-ROM дисковода: system32\DRIVERS\cdrom.sys (system)

Служба индексирования: %SystemRoot%\system32\cisvc.exe (manual start)

Сервер папки обмена: %SystemRoot%\system32\clipsrv.exe (disabled)

Системное приложение COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)

Outpost Firewall PlugIn (CONTENT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\CONTENT.DLL (manual start)

Службы криптографии: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Запуск серверных процессов DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)

DHCP-клиент: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Драйвер диска: system32\DRIVERS\disk.sys (system)

DAVICOM 9102(A) PCI Fast Ethernet Based NT драйвер: system32\DRIVERS\DM9PCI5.SYS (manual start)

Служба администрирования диспетчера логических дисков: %SystemRoot%\System32\dmadmin.exe /com (manual start)

dmboot: System32\drivers\dmboot.sys (disabled)

Драйвер диспетчера логических дисков: System32\drivers\dmio.sys (system)

dmload: System32\drivers\dmload.sys (system)

Диспетчер логических дисков: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Синтезатор DLS ядра системы: system32\drivers\DMusic.sys (manual start)

DNS-клиент: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart)

Outpost Firewall PlugIn (DNSCACHE.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\DNSCACHE.DLL (manual start)

Звуковой дешифратор DRM ядра системы: system32\drivers\drmkaud.sys (manual start)

Служба регистрации ошибок: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Журнал событий: %SystemRoot%\system32\services.exe (autostart)

Система событий COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start)

ewido security suite control: C:\Program Files\ewido anti-malware\ewidoctrl.exe (autostart)

ewido security suite driver: \??\C:\Program Files\ewido anti-malware\guard.sys (system)

ewido security suite guard: C:\Program Files\ewido anti-malware\ewidoguard.exe (autostart)

Совместимость быстрого переключения пользователей: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Драйвер контроллера гибких дисков: system32\DRIVERS\fdc.sys (manual start)

Драйвер дисковода гибких дисков: system32\DRIVERS\flpydisk.sys (manual start)

FltMgr: system32\DRIVERS\fltMgr.sys (system)

Драйвер диспетчера томов: system32\DRIVERS\ftdisk.sys (system)

Outpost Firewall PlugIn (FTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FTPFILT.DLL (manual start)

Перечислитель игровых портов: system32\DRIVERS\gameenum.sys (manual start)

Общий классификатор пакетов: system32\DRIVERS\msgpc.sys (manual start)

Справка и поддержка: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Доступ к HID-устройствам: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)

Outpost Firewall PlugIn (HTMLFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\HTMLFILT.DLL (manual start)

HTTP: System32\Drivers\HTTP.sys (manual start)

Outpost Firewall PlugIn (HTTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\HTTPFILT.DLL (manual start)

Протокол HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)

Драйвер i8042-клавиатуры и мыши для порта PS/2: system32\DRIVERS\i8042prt.sys (system)

Outpost Firewall PlugIn (IMAPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\IMAPFILT.DLL (manual start)

Драйвер фильтра записи компакт-дисков: system32\DRIVERS\imapi.sys (system)

Служба COM записи компакт-дисков IMAPI: C:\WINDOWS\system32\imapi.exe (manual start)

InCD File System: system32\drivers\InCDFs.sys (disabled)

InCDPass: system32\drivers\InCDPass.sys (system)

InCD Reader: system32\drivers\InCDRm.sys (system)

Драйвер брандмауэра Windows для IPv6: system32\DRIVERS\Ip6Fw.sys (manual start)

Драйвер фильтра IP-трафика: system32\DRIVERS\ipfltdrv.sys (manual start)

Драйвер туннеля IP в IP: system32\DRIVERS\ipinip.sys (manual start)

Транслятор сетевого IP-адреса: system32\DRIVERS\ipnat.sys (manual start)

Драйвер IPSEC: system32\DRIVERS\ipsec.sys (system)

Служба перечислителя IR: system32\DRIVERS\irenum.sys (manual start)

Драйвер PnP ISA/EISA шины: system32\DRIVERS\isapnp.sys (system)

Драйвер класса клавиатуры: system32\DRIVERS\kbdclass.sys (system)

Микшер звукозаписи ядра системы: system32\drivers\kmixer.sys (manual start)

Сервер: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Рабочая станция: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Модуль поддержки NetBIOS через TCP/IP: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Outpost Firewall PlugIn (MAILFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\MAILFILT.DLL (manual start)

Pinnacle Marvin Bus: system32\DRIVERS\MarvinBus.sys (manual start)

Служба сообщений: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

NetMeeting Remote Desktop Sharing: C:\WINDOWS\system32\mnmsrvc.exe (manual start)

Драйвер класса мыши: system32\DRIVERS\mouclass.sys (system)

Перенаправиль клиентов WebDav: system32\DRIVERS\mrxdav.sys (manual start)

MRXSMB: system32\DRIVERS\mrxsmb.sys (system)

Координатор распределенных транзакций: C:\WINDOWS\system32\msdtc.exe (manual start)

Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start)

Представитель служб потоков Microsoft: system32\drivers\MSKSSRV.sys (manual start)

Посредник синхронизации потоков Microsoft: system32\drivers\MSPCLOCK.sys (manual start)

Представитель диспетчера качества потоков Microsoft: system32\drivers\MSPQM.sys (manual start)

Драйвер Microsoft System Management BIOS: system32\DRIVERS\mssmbios.sys (manual start)

MSSQL$MICROSOFTSMLBIZ: "c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (autostart)

MSSQLServerADHelper: "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe" (manual start)

Драйвер UART Microsoft MPU-401 MIDI: system32\drivers\msmpu401.sys (manual start)

NDIS-драйвер TAPI удаленного доступа: system32\DRIVERS\ndistapi.sys (manual start)

NDIS-протокол ввода/вывода пользовательского режима: system32\DRIVERS\ndisuio.sys (manual start)

NDIS-драйвер WAN удаленного доступа: system32\DRIVERS\ndiswan.sys (manual start)

Интерфейс NetBIOS: system32\DRIVERS\netbios.sys (system)

NetBios через TCP/IP: system32\DRIVERS\netbt.sys (system)

Служба сетевого DDE: %SystemRoot%\system32\netdde.exe (disabled)

Диспетчер сетевого DDE: %SystemRoot%\system32\netdde.exe (disabled)

Сетевой вход в систему: %SystemRoot%\system32\lsass.exe (manual start)

Сетевые подключения: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Служба сетевого расположения (NLA): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Outpost Firewall PlugIn (NNTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\NNTPFILT.DLL (manual start)

Поставщик поддержки безопасности NT LM: %SystemRoot%\system32\lsass.exe (manual start)

Съемные ЗУ: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Драйвер фильтра IPX-трафика: system32\DRIVERS\nwlnkflt.sys (manual start)

Драйвер пересылки IPX-трафика: system32\DRIVERS\nwlnkfwd.sys (manual start)

Office Source Engine: "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" (manual start)

Outpost Firewall Service: C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /service (autostart)

Драйвер Intel PentiumIII процессора: system32\DRIVERS\p3.sys (system)

Драйвер параллельного порта: system32\DRIVERS\parport.sys (manual start)

Драйвер PCI шины: system32\DRIVERS\pci.sys (system)

PCLEPCI: \??\C:\WINDOWS\system32\drivers\pclepci.sys (system)

Padus ASPI Shell: system32\drivers\pfc.sys (manual start)

Plug and Play: %SystemRoot%\system32\services.exe (autostart)

Службы IPSEC: %SystemRoot%\system32\lsass.exe (autostart)

Outpost Firewall PlugIn (POP3FILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\POP3FILT.DLL (manual start)

Минипорт WAN (PPTP): system32\DRIVERS\raspptp.sys (manual start)

Outpost Firewall PlugIn (PROTECT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\PROTECT.DLL (manual start)

Защищенное хранилище: %SystemRoot%\system32\lsass.exe (autostart)

Планировщик пакетов QoS: system32\DRIVERS\psched.sys (manual start)

Драйвер прямой параллельной связи: system32\DRIVERS\ptilink.sys (manual start)

PxHelp20: system32\DRIVERS\PxHelp20.sys (system)

Драйвер авто-подключений удаленного доступа: system32\DRIVERS\rasacd.sys (system)

Диспетчер авто-подключений удаленного доступа: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Минипорт WAN (L2TP): system32\DRIVERS\rasl2tp.sys (manual start)

Диспетчер подключений удаленного доступа: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Драйвер PPPoE удаленного доступа: system32\DRIVERS\raspppoe.sys (manual start)

Прямой параллельный порт: system32\DRIVERS\raspti.sys (manual start)

Rdbss: system32\DRIVERS\rdbss.sys (system)

RDPCDD: System32\DRIVERS\RDPCDD.sys (system)

Драйвер перенаправителя устройства сервера терминалов: system32\DRIVERS\rdpdr.sys (manual start)

Диспетчер сеанса справки для удаленного рабочего стола: C:\WINDOWS\system32\sessmgr.exe (manual start)

Драйвер фильтра воспроизведения звука с цифровых компакт-дисков: system32\DRIVERS\redbook.sys (system)

Маршрутизация и удаленный доступ: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled)

Удаленный реестр: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Локатор удаленного вызова процедур (RPC): %SystemRoot%\system32\locator.exe (manual start)

Удаленный вызов процедур (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)

QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start)

S3Inc: system32\DRIVERS\s3mini.sys (manual start)

Диспетчер учетных записей безопасности: %SystemRoot%\system32\lsass.exe (autostart)

Смарт-карты: %SystemRoot%\System32\SCardSvr.exe (manual start)

Планировщик заданий: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Secdrv: system32\DRIVERS\secdrv.sys (manual start)

Вторичный вход в систему: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Outpost Firewall PlugIn (SECRET.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\SECRET.DLL (manual start)

Уведомление о системных событиях: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Драйвер фильтра Serenum: system32\DRIVERS\serenum.sys (manual start)

Драйвер последовательного порта: system32\DRIVERS\serial.sys (system)

Брандмауэр Windows/Общий доступ к Интернету (ICS): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)

Определение оборудования оболочки: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Разделитель звука ядра системы: system32\drivers\splitter.sys (manual start)

Диспетчер очереди печати: %SystemRoot%\system32\spoolsv.exe (autostart)

SQLAgent$MICROSOFTSMLBIZ: "c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (manual start)

Драйвер фильтра восстановления системы: system32\DRIVERS\sr.sys (system)

Служба восстановления системы: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Srv: system32\DRIVERS\srv.sys (manual start)

Служба обнаружения SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Служба загрузки изображений (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (manual start)

Драйвер программной шины: system32\DRIVERS\swenum.sys (manual start)

Синтезатор звуковой таблицы Microsoft Kernel GS: system32\drivers\swmidi.sys (manual start)

MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{EE469D17-45D8-4513-8BB0-EAAA7ABA5E18} (manual start)

Аудиоустройство ядра системы: system32\drivers\sysaudio.sys (manual start)

Журналы и оповещения производительности: %SystemRoot%\system32\smlogsvc.exe (manual start)

Телефония: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Драйвер протокола TCP/IP: system32\DRIVERS\tcpip.sys (system)

Драйвер устройства терминала: system32\DRIVERS\termdd.sys (system)

Службы терминалов: %SystemRoot%\System32\svchost -k DComLaunch (manual start)

Темы: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Telnet: C:\WINDOWS\system32\tlntsvr.exe (disabled)

Клиент отслеживания изменившихся связей: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)

Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart)

Драйвер обновления микропрограмм: system32\DRIVERS\update.sys (manual start)

Узел универсальных PnP-устройств: %SystemRoot%\system32\svchost.exe -k LocalService (manual start)

Источник бесперебойного питания: %SystemRoot%\System32\ups.exe (manual start)

Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера: system32\DRIVERS\usbehci.sys (manual start)

Драйвер стандартного концентратора USB (Microsoft): system32\DRIVERS\usbhub.sys (manual start)

Драйвер запоминающих устройств для USB: system32\DRIVERS\USBSTOR.SYS (manual start)

Драйвер минипорта Microsoft USB универсального хост-контроллера: system32\DRIVERS\usbuhci.sys (manual start)

Outpost Firewall Kernel Driver: \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS (system)

VgaSave: \SystemRoot\System32\drivers\vga.sys (system)

VIA - фильтр шины AGP: system32\DRIVERS\viaagp.sys (system)

ViaIde: system32\DRIVERS\viaide.sys (system)

VIA AC'97 аудио контроллер (WDM): system32\drivers\ac97via.sys (manual start)

Теневое копирование тома: %SystemRoot%\System32\vssvc.exe (manual start)

Служба времени Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Драйвер IP ARP удаленного доступа: system32\DRIVERS\wanarp.sys (manual start)

Windows CE USB Serial Host Driver: system32\DRIVERS\wceusbsh.sys (manual start)

Драйвер совместимости звука Microsoft (WINMM WDM): system32\drivers\wdmaud.sys (manual start)

Веб-клиент: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)

Инструментарий управления Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Служба серийных номеров переносных устройств мультимедиа: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Расширения драйверов WMI (Windows Management Instrumentation): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Адаптер производительности WMI: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start)

Центр обеспечения безопасности: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

Автоматическое обновление: %systemroot%\system32\svchost.exe -k netsvcs (autostart)

Беспроводная настройка: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)

Служба обеспечения сети: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\ANYBOD~1.ZAV\LOCALS~1\Temp\2006216123744_mcappins.exe||C:\DOCUME~1\ANYBOD~1.ZAV\LOCALS~1\Temp\2006216123739_mcinfo.exe

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 34 737 bytes

Report generated in 0,270 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

C:\Program Files\Dachshund Software - это свои =)

Link to comment
Share on other sites

Мне, к сожалению, сейчас нужно уже уходить и я смогу нормально ответить только лишь к вечеру.

Но я обратила вниманиена то, что у вас совсем нет антивируса (Ewido сложно с червями), поэтому, если вы ждать не можите, используйте:

Cureit (DrWeb)

http://download.drweb.com/drweb+cureit/

Либо любое из этих он-лайн-сканирований:

Kaspersky

Symantec AntiVirus

BitDefender

Но к вечеру я по этой теме еще напишу :dontgetit:

Link to comment
Share on other sites

Дополнительная инфа - просканил Касперским-онлайн. Он нашел кучу инфекции в c:\System Volume Information\_restore{...}. Примерно такого типа:

C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013368.sys Infected: SpamTool.Win32.Mailbot.aa

C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013396.dll Infected: Trojan-Spy.Win32.Small.dg

C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013403.exe Infected: not-virus:Hoax.Win32.Renos.as

C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013404.exe Infected: Packed.Win32.Klone.b

C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013405.exe Infected: Trojan-Downloader.Win32.Adload.j

Там я все удалил в режиме консоли восстановления. Не помогло =(. Винлогон продолжает лезть куда не надо.

Link to comment
Share on other sites

Этого тоже мало :sm(100): Нужны ключики winlogon целиком.

Поэтому, если есть такое желание, скачайте на рабочий стол L2MFix.

Инсталлируйте прямо тут же, на рабочем столе.

Затем в папке l2mfix найдите файл l2mfix.bat. Запустите.

Откроется приложение, которое сначала попросит нажать любую клавишу для продолжения, а после выдаст меню с возможными действиями. Необходимо нажать - 1 и затем Enter.

Через несколько секунд откроется текстовый файл, содержимое которого необходимо скопировать и показать (в PM или на форум, как вам удобнее).

Этот текстовый файл также появится в папке l2mfix с названием report.txt.

Edited by Saule
Link to comment
Share on other sites

Вот результаты:

L2MFIX find log 010406

These are the registry keys present

**********************************************************************************

Winlogon/notify:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\

6c,00,00,00

"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]

"Asynchronous"=dword:00000000

"Impersonate"=dword:00000000

"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]

"DLLName"="cscdll.dll"

"Logon"="WinlogonLogonEvent"

"Logoff"="WinlogonLogoffEvent"

"ScreenSaver"="WinlogonScreenSaverEvent"

"Startup"="WinlogonStartupEvent"

"Shutdown"="WinlogonShutdownEvent"

"StartShell"="WinlogonStartShellEvent"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]

"DLLName"="wlnotify.dll"

"Logon"="SCardStartCertProp"

"Logoff"="SCardStopCertProp"

"Lock"="SCardSuspendCertProp"

"Unlock"="SCardResumeCertProp"

"Enabled"=dword:00000001

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"StartShell"="SchedStartShell"

"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]

"Logoff"="WLEventLogoff"

"Impersonate"=dword:00000000

"Asynchronous"=dword:00000001

"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]

"DLLName"="WlNotify.dll"

"Lock"="SensLockEvent"

"Logon"="SensLogonEvent"

"Logoff"="SensLogoffEvent"

"Safe"=dword:00000001

"MaxWait"=dword:00000258

"StartScreenSaver"="SensStartScreenSaverEvent"

"StopScreenSaver"="SensStopScreenSaverEvent"

"Startup"="SensStartupEvent"

"Shutdown"="SensShutdownEvent"

"StartShell"="SensStartShellEvent"

"PostShell"="SensPostShellEvent"

"Disconnect"="SensDisconnectEvent"

"Reconnect"="SensReconnectEvent"

"Unlock"="SensUnlockEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]

"Asynchronous"=dword:00000000

"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Impersonate"=dword:00000000

"Logoff"="TSEventLogoff"

"Logon"="TSEventLogon"

"PostShell"="TSEventPostShell"

"Shutdown"="TSEventShutdown"

"StartShell"="TSEventStartShell"

"Startup"="TSEventStartup"

"MaxWait"=dword:00000258

"Reconnect"="TSEventReconnect"

"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]

"DLLName"="wlnotify.dll"

"Logon"="RegisterTicketExpiredNotificationEvent"

"Logoff"="UnregisterTicketExpiredNotificationEvent"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000001

**********************************************************************************

useragent:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

**********************************************************************************

Shell Extension key:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

"{00022613-0000-0000-C000-000000000046}"="Окно свойств файла мультимедиа"

"{176d6597-26d3-11d1-b350-080036a75b03}"="Управление сканером ICM"

"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Свойства безопасности NTFS"

"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Свойства документа OLE"

"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Расширения оболочки, обеспечивающие доступ к ресурсам"

"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"

"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL для видеоадаптера"

"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL для видеомонитора"

"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL панорамирования дисплея"

"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Свойства безопасности DS"

"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Страница совместимости"

"{56117100-C0CD-101B-81E2-00AA004AE837}"="Обработчик фрагментов"

"{59099400-57FF-11CE-BD94-0020AF85B590}"="Программа копирования дисков"

"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Расширения оболочки для сетевых объектов Microsoft Windows"

"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Управление монитором ICM"

"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Управление принтером ICM"

"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Расширения оболочки для сжатия файлов"

"{77597368-7b15-11d0-a0c2-080036af3f03}"="Расширение оболочки Web Printer"

"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"

"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Контекстное меню шифрования"

"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Портфель"

"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Расширение значка HyperTerminal"

"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts"

"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Профиль ICC"

"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Свойства безопасности принтеров"

"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Расширения оболочки, обеспечивающие доступ к ресурсам"

"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"

"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Расширение Crypto PKO"

"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Расширение шифрованной подписи"

"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Сетевые подключения"

"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Сетевые подключения"

"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Сканеры и камеры"

"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Сканеры и камеры"

"{905667aa-acd6-11d2-8080-00805f6596d2}"="&Сканеры и камеры"

"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Сканеры и камеры"

"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Сканеры и камеры"

"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"

"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Расширения оболочки для Windows Script Host"

"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Связь с данными (Microsoft)"

"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"

"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"

"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Назначенные задания"

"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"

"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"

"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Панель задач и меню ''Пуск''"

"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Поиск"

"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Справка и поддержка"

"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Справка и поддержка"

"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Запуск программы..."

"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Интернет"

"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Электронная почта"

"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fonts"

"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Администрирование"

"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Свойства: Предыдущие версии"

"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Предыдущие версии"

"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"

"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"

"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"

"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"

"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"

"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"

"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Панель инструментов Microsoft Internet"

"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Состояние загрузки"

"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Расширенная папка оболочки"

"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Расширенная папка оболочки 2"

"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"

"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"

"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Панель поиска"

"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Поиск на панели"

"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Поиск в Интернете"

"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Утилита параметров дерева реестра"

"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Адрес"

"{A08C11D2-A228-11d0-825B-00AA005B4383}"="EditBox адреса"

"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Автозаполнение (Microsoft)"

"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"

"{6756A641-DE71-11d0-831B-00AA005B4383}"="Список автозаполнения MRU"

"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Особый список автозаполнения MRU"

"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Доступный"

"{acf35015-526e-4230-9596-becbe19f0ac9}"="Всплывающая панель зв. дорожки"

"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Список автозаполнения журнала (Microsoft)"

"{03C036F1-A186-11D0-824A-00AA005B4383}"="Список автозаполнения папки оболочки (Microsoft)"

"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Контейнер списка множественных автозаполнений (Microsoft)"

"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Меню сайта панелей оболочки"

"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="DeskBarApp оболочки"

"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="DeskBar оболочки"

"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Rebar BandSite оболочки"

"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Помощь пользователю"

"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Глобальные параметры папки"

"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"

"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"

"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"

"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"

"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"

"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Служба журнала адресов Url Microsoft"

"{FF393560-C2A7-11CF-BFF4-444553540000}"="Журнал"

"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Временные файлы Интернета"

"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Временные файлы Интернета"

"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Обработчик поиска Microsoft Url"

"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Экран пакета IE4"

"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"

"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"

"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"

"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Интернет"

"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"

"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Полоса Explorer"

"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"

"{88C6C381-2E85-11D0-94DE-444553540000}"="Папка кэша ActiveX"

"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"

"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"

"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Папка подписки"

"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"

"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"

"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"

"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"

"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"

"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"

"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"

"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Диспетчер приложений оболочки"

"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Перечислитель установленных приложений"

"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"

"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"

"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"

"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"

"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ средство извлечения эскизов файлов"

"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Обработчик эскизов итоговых сведений (DOCFILES)"

"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Извлечение эскизов HTML"

"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"

"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Мастер веб-публикаций"

"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Заказ отпечатков через Интернет"

"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Объект мастера веб-публикаций"

"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Мастер получения цифрового паспорта"

"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Учетные записи пользователей"

"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"

"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"

"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Файл каналов"

"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Ярлык канала"

"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Объект управления каналом"

"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"

"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"

"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"

"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"

"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"

"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"

"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"

"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"

"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"

"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"

"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"

"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"

"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"

"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"

"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"

"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"

"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"

"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"

"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"

"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"

"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"

"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Папка автономных файлов"

"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"

"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"

"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"

"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"

"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"

"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Людей..."

"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"

"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"

"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"

"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"

"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"

"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Веб-папки"

"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"

"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"

"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"

"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"

"{E0D79307-84BE-11CE-9641-444553540000}"="WinZip"

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"

"{49BF5420-FA7F-11cf-8011-00A0C90A8F78}"="Mobile Device"

**********************************************************************************

HKEY ROOT CLASSIDS:

**********************************************************************************

Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\

cygwin1.dll Mon 16 Jan 2006 15:45:42 A.... 1 126 281 1.07 M

cygz.dll Mon 16 Jan 2006 15:45:42 A.... 35 328 34.50 K

2 items found: 2 files, 0 directories.

Total of file sizes: 1 161 609 bytes 1.11 M

Locate .tmp files:

No matches found.

**********************************************************************************

Directory Listing of system files:

Том в устройстве C не имеет метки.

Серийный номер тома: 8050-2E04

Содержимое папки C:\WINDOWS\System32

23.01.2006 11:41 <DIR> dllcache

11.11.2005 16:21 <DIR> Microsoft

0 файлов 0 байт

2 папок 2 969 108 480 байт свободно

Link to comment
Share on other sites

задай поиск по файлам i386p.sys и msctl32.dll. Есть у меня смутные подозрения.... О результатах доложи.

Я тут подумал, ты уверен, что удалил

SpamTool.Win32.Mailbot.aa
?

P.S. почитай вот это

Edited by Сыр
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...