est412 Posted February 16, 2006 Report Share Posted February 16, 2006 Привет всем! Мой Аутпост рапортует что после подключения к интернету, winlogon каждую минуту пытается законнектиться по 80 порту к login.fric.cn и swetr.com. Если эту деятельность Аутпостом не блокировать, winlogon через некоторое время коннектится к ftp.mozilla.org и чето оттуда скачивает на 4мега. Что это может быть? Мож так и надо? Эвидой все почистил, Антихайджек ниче подозрительного не показывает.... Link to comment Share on other sites More sharing options...
Saule Posted February 16, 2006 Report Share Posted February 16, 2006 Привет всем! Мой Аутпост рапортует что после подключения к интернету, winlogon каждую минуту пытается законнектиться по 80 порту к login.fric.cn и swetr.com. Если эту деятельность Аутпостом не блокировать, winlogon через некоторое время коннектится к ftp.mozilla.org и чето оттуда скачивает на 4мега. Что это может быть? Мож так и надо? Эвидой все почистил, Антихайджек ниче подозрительного не показывает.... Можно на всякий случай посмотреть на лог HijackThis мне? ;) И, кстати, на адрес swetr.com ходить не надо, там сидит червячок. Link to comment Share on other sites More sharing options...
DIMKA-vrn Posted February 16, 2006 Report Share Posted February 16, 2006 проверься на червей и дрянь нету ли каких других шпионов и прочих нечестей это они качают чегото ;) Link to comment Share on other sites More sharing options...
est412 Posted February 16, 2006 Author Report Share Posted February 16, 2006 Вот я и думаю - дело не чисто. Только как узнать - какой процесс через винлогоном пользуется? Вот лог: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\WINDOWS\Integrator.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Opera\Opera.exe C:\Program Files\Avant Browser\avant.exe C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Рабочий стол\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.s3graphics.com/drivers.jsp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Lingvo Launcher] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup O4 - HKLM\..\Run: [LingvoTraining] "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: AntiCrash.lnk = C:\Program Files\Dachshund Software\AntiCrash\AntiCrash.exe O4 - Startup: Hare.lnk = C:\Program Files\Dachshund Software\Hare\Hare.exe O4 - Startup: Zoom.lnk = C:\Program Files\Dachshund Software\Zoom\Zoom.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Translate with Lingvo - res://C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lingvo.exe/3000 O8 - Extra context menu item: Блокировать все картинки с этого сервера - C:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Добавить в список блокируемой рекламы - C:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Открыть в новом окне Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Открыть все ссылки с этой страницы... - C:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Подсветка - C:\Program Files\Avant Browser\Highlight.htm O8 - Extra context menu item: Поиск - C:\Program Files\Avant Browser\Search.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll O9 - Extra button: Быстрая настройка Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1131788069888 O17 - HKLM\System\CCS\Services\Tcpip\..\{CADAF0B4-4CAB-4069-A50A-6C2FC8871489}: NameServer = 217.66.16.35 217.66.22.130 O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: MSSQL$MICROSOFTSMLBIZ - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (file missing) O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SQLAgent$MICROSOFTSMLBIZ - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (file missing) O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Link to comment Share on other sites More sharing options...
Saule Posted February 16, 2006 Report Share Posted February 16, 2006 Если не сложно, сделайте следующее: Открываем HijackThis и нажимаем на кнопку "Open the Misc Tools section" Далее, напротив "Generate StartupList log" нужно поставить галочки около "List also minor sections" (full) и "List empty sections (complete). И затем нажать на кнопку "Generate StartupList log" Затем в появившемся окошке нажать "Yes". И перед вами, а также в папке hijackthis, появится текстовый файл с названием startuplist.txt. Вот на содержимое этого файла я бы и хотела посмотреть. Link to comment Share on other sites More sharing options...
est412 Posted February 16, 2006 Author Report Share Posted February 16, 2006 Уважаемая, вот результат: ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MICROS~4\rapimgr.exe C:\WINDOWS\Integrator.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Opera\Opera.exe C:\Program Files\Avant Browser\avant.exe C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Рабочий стол\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Documents and Settings\Anybody.ZAVOYSKOGO-01\Главное меню\Программы\Автозагрузка] Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe AntiCrash.lnk = C:\Program Files\Dachshund Software\AntiCrash\AntiCrash.exe Hare.lnk = C:\Program Files\Dachshund Software\Hare\Hare.exe Zoom.lnk = C:\Program Files\Dachshund Software\Zoom\Zoom.exe Shell folders AltStartup: *Folder not found* User shell folders Startup: *Folder not found* User shell folders AltStartup: *Folder not found* Shell folders Common Startup: [C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Автозагрузка] *No files* Shell folders Common AltStartup: *Folder not found* User shell folders Common Startup: *Folder not found* User shell folders Alternate Common Startup: *Folder not found* -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, [HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *Registry value not found* [HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon] *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ICQ Lite = "C:\Program Files\ICQLite\ICQLite.exe" -minimize Lingvo Launcher = "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Lvagent.exe" /STARTUP Outpost Firewall = C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice OutpostFeedBack = C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup LingvoTraining = "C:\Program Files\ABBYY Lingvo 10 Multilingual Dictionary\Tutor.exe" /ND /NW /AS -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No values found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run H/PC Connection Agent = "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ICQ Lite = C:\Program Files\ICQLite\ICQLite.exe -trayboot -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\Run [OptionalComponents] *No values found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\Run *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce *No subkeys found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- Autorun entries in Registry subkeys of: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run *Registry key not found* -------------------------------------------------- File association entry for .EXE: HKEY_CLASSES_ROOT\exefile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .COM: HKEY_CLASSES_ROOT\comfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .BAT: HKEY_CLASSES_ROOT\batfile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .PIF: HKEY_CLASSES_ROOT\piffile\shell\open\command (Default) = "%1" %* -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\scrfile\shell\open\command (Default) = "%1" /S -------------------------------------------------- File association entry for .HTA: HKEY_CLASSES_ROOT\htafile\shell\open\command (Default) = C:\WINDOWS\system32\mshta.exe "%1" %* -------------------------------------------------- File association entry for .TXT: HKEY_CLASSES_ROOT\txtfile\shell\open\command (Default) = %SystemRoot%\system32\NOTEPAD.EXE %1 -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] * StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT [{5945c046-1e7d-11d1-bc44-00c04fd912be}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser [{6BF52A52-394A-11d3-B153-00C04F79FAA6}] * StubPath = rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry key not found* -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load=*INI section not found* run=*INI section not found* Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Verifying REGEDIT.EXE integrity: - Regedit.exe found in C:\WINDOWS - .reg open command is normal (regedit.exe %1) - Company name NOT OK: 'Корпорация Майкрософт' - Original filename OK: 'REGEDIT.EXE' - File description: 'Редактор реестра' Registry check failed! -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll - {259F616C-A300-44F5-B04A-ED001A26C85C} -------------------------------------------------- Enumerating Task Scheduler jobs: *No jobs found* -------------------------------------------------- Enumerating Download Program Files: [ewidoOnlineScan Control] InProcServer32 = C:\WINDOWS\DOWNLO~1\EWIDOO~1.DLL CODEBASE = http://download.ewido.net/ewidoOnlineScan.cab [Office Update Installation Engine] InProcServer32 = C:\WINDOWS\opuc.dll CODEBASE = http://office.microsoft.com/officeupdate/content/opuc3.cab [{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}] CODEBASE = http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab [WUWebControl Class] InProcServer32 = C:\WINDOWS\system32\wuweb.dll CODEBASE = http://update.microsoft.com/windowsupdate/...b?1131788069888 [Java Plug-in 1.5.0_01] InProcServer32 = C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab [Java Plug-in 1.5.0_01] InProcServer32 = C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll CODEBASE = http://java.sun.com/update/1.5.0/jinstall-...indows-i586.cab -------------------------------------------------- Enumerating Winsock LSP files: NameSpace #1: C:\WINDOWS\System32\mswsock.dll NameSpace #2: C:\WINDOWS\System32\winrnr.dll NameSpace #3: C:\WINDOWS\System32\mswsock.dll Protocol #1: C:\WINDOWS\system32\mswsock.dll Protocol #2: C:\WINDOWS\system32\mswsock.dll Protocol #3: C:\WINDOWS\system32\mswsock.dll Protocol #4: C:\WINDOWS\system32\rsvpsp.dll Protocol #5: C:\WINDOWS\system32\rsvpsp.dll Protocol #6: C:\WINDOWS\system32\mswsock.dll Protocol #7: C:\WINDOWS\system32\mswsock.dll Protocol #8: C:\WINDOWS\system32\mswsock.dll Protocol #9: C:\WINDOWS\system32\mswsock.dll Protocol #10: C:\WINDOWS\system32\mswsock.dll Protocol #11: C:\WINDOWS\system32\mswsock.dll Protocol #12: C:\WINDOWS\system32\mswsock.dll Protocol #13: C:\WINDOWS\system32\mswsock.dll Protocol #14: C:\WINDOWS\system32\mswsock.dll Protocol #15: C:\WINDOWS\system32\mswsock.dll -------------------------------------------------- Enumerating Windows NT/2000/XP services Драйвер Microsoft ACPI: system32\DRIVERS\ACPI.sys (system) Outpost Firewall PlugIn (ADBLOCK.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\ADBLOCK.DLL (manual start) Adobe LM Service: "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" (manual start) Подавитель акустического эхо ядра системы: system32\drivers\aec.sys (manual start) AFD: \SystemRoot\System32\drivers\afd.sys (system) Оповещатель: %SystemRoot%\system32\svchost.exe -k LocalService (disabled) Служба шлюза уровня приложения: %SystemRoot%\System32\alg.exe (manual start) Управление приложениями: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Outpost Firewall PlugIn (ARP.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\ARP.DLL (manual start) ASAPIW2K: system32\drivers\ASAPIW2k.sys (manual start) ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start) Драйвер асинхронного носителя RAS: system32\DRIVERS\asyncmac.sys (manual start) Standard IDE/ESDI Hard Disk Controller: system32\DRIVERS\atapi.sys (system) Протокол клиента ATM ARP: system32\DRIVERS\atmarpc.sys (manual start) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Драйвер заглушки аудио: system32\DRIVERS\audstub.sys (manual start) Драйвер Aztech 2320 Audio (WDM): system32\drivers\aztw2320.sys (manual start) Фоновая интеллектуальная служба передачи (BITS): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Обозреватель компьютеров: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Драйвер CD-ROM дисковода: system32\DRIVERS\cdrom.sys (system) Служба индексирования: %SystemRoot%\system32\cisvc.exe (manual start) Сервер папки обмена: %SystemRoot%\system32\clipsrv.exe (disabled) Системное приложение COM+: C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start) Outpost Firewall PlugIn (CONTENT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\CONTENT.DLL (manual start) Службы криптографии: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Запуск серверных процессов DCOM: %SystemRoot%\system32\svchost -k DcomLaunch (autostart) DHCP-клиент: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Драйвер диска: system32\DRIVERS\disk.sys (system) DAVICOM 9102(A) PCI Fast Ethernet Based NT драйвер: system32\DRIVERS\DM9PCI5.SYS (manual start) Служба администрирования диспетчера логических дисков: %SystemRoot%\System32\dmadmin.exe /com (manual start) dmboot: System32\drivers\dmboot.sys (disabled) Драйвер диспетчера логических дисков: System32\drivers\dmio.sys (system) dmload: System32\drivers\dmload.sys (system) Диспетчер логических дисков: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Синтезатор DLS ядра системы: system32\drivers\DMusic.sys (manual start) DNS-клиент: %SystemRoot%\system32\svchost.exe -k NetworkService (autostart) Outpost Firewall PlugIn (DNSCACHE.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\DNSCACHE.DLL (manual start) Звуковой дешифратор DRM ядра системы: system32\drivers\drmkaud.sys (manual start) Служба регистрации ошибок: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Журнал событий: %SystemRoot%\system32\services.exe (autostart) Система событий COM+: C:\WINDOWS\system32\svchost.exe -k netsvcs (manual start) ewido security suite control: C:\Program Files\ewido anti-malware\ewidoctrl.exe (autostart) ewido security suite driver: \??\C:\Program Files\ewido anti-malware\guard.sys (system) ewido security suite guard: C:\Program Files\ewido anti-malware\ewidoguard.exe (autostart) Совместимость быстрого переключения пользователей: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Драйвер контроллера гибких дисков: system32\DRIVERS\fdc.sys (manual start) Драйвер дисковода гибких дисков: system32\DRIVERS\flpydisk.sys (manual start) FltMgr: system32\DRIVERS\fltMgr.sys (system) Драйвер диспетчера томов: system32\DRIVERS\ftdisk.sys (system) Outpost Firewall PlugIn (FTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FTPFILT.DLL (manual start) Перечислитель игровых портов: system32\DRIVERS\gameenum.sys (manual start) Общий классификатор пакетов: system32\DRIVERS\msgpc.sys (manual start) Справка и поддержка: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Доступ к HID-устройствам: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled) Outpost Firewall PlugIn (HTMLFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\HTMLFILT.DLL (manual start) HTTP: System32\Drivers\HTTP.sys (manual start) Outpost Firewall PlugIn (HTTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\HTTPFILT.DLL (manual start) Протокол HTTP SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start) Драйвер i8042-клавиатуры и мыши для порта PS/2: system32\DRIVERS\i8042prt.sys (system) Outpost Firewall PlugIn (IMAPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\IMAPFILT.DLL (manual start) Драйвер фильтра записи компакт-дисков: system32\DRIVERS\imapi.sys (system) Служба COM записи компакт-дисков IMAPI: C:\WINDOWS\system32\imapi.exe (manual start) InCD File System: system32\drivers\InCDFs.sys (disabled) InCDPass: system32\drivers\InCDPass.sys (system) InCD Reader: system32\drivers\InCDRm.sys (system) Драйвер брандмауэра Windows для IPv6: system32\DRIVERS\Ip6Fw.sys (manual start) Драйвер фильтра IP-трафика: system32\DRIVERS\ipfltdrv.sys (manual start) Драйвер туннеля IP в IP: system32\DRIVERS\ipinip.sys (manual start) Транслятор сетевого IP-адреса: system32\DRIVERS\ipnat.sys (manual start) Драйвер IPSEC: system32\DRIVERS\ipsec.sys (system) Служба перечислителя IR: system32\DRIVERS\irenum.sys (manual start) Драйвер PnP ISA/EISA шины: system32\DRIVERS\isapnp.sys (system) Драйвер класса клавиатуры: system32\DRIVERS\kbdclass.sys (system) Микшер звукозаписи ядра системы: system32\drivers\kmixer.sys (manual start) Сервер: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Рабочая станция: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Модуль поддержки NetBIOS через TCP/IP: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Outpost Firewall PlugIn (MAILFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\MAILFILT.DLL (manual start) Pinnacle Marvin Bus: system32\DRIVERS\MarvinBus.sys (manual start) Служба сообщений: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) NetMeeting Remote Desktop Sharing: C:\WINDOWS\system32\mnmsrvc.exe (manual start) Драйвер класса мыши: system32\DRIVERS\mouclass.sys (system) Перенаправиль клиентов WebDav: system32\DRIVERS\mrxdav.sys (manual start) MRXSMB: system32\DRIVERS\mrxsmb.sys (system) Координатор распределенных транзакций: C:\WINDOWS\system32\msdtc.exe (manual start) Windows Installer: C:\WINDOWS\system32\msiexec.exe /V (manual start) Представитель служб потоков Microsoft: system32\drivers\MSKSSRV.sys (manual start) Посредник синхронизации потоков Microsoft: system32\drivers\MSPCLOCK.sys (manual start) Представитель диспетчера качества потоков Microsoft: system32\drivers\MSPQM.sys (manual start) Драйвер Microsoft System Management BIOS: system32\DRIVERS\mssmbios.sys (manual start) MSSQL$MICROSOFTSMLBIZ: "c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe" -sMICROSOFTSMLBIZ (autostart) MSSQLServerADHelper: "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe" (manual start) Драйвер UART Microsoft MPU-401 MIDI: system32\drivers\msmpu401.sys (manual start) NDIS-драйвер TAPI удаленного доступа: system32\DRIVERS\ndistapi.sys (manual start) NDIS-протокол ввода/вывода пользовательского режима: system32\DRIVERS\ndisuio.sys (manual start) NDIS-драйвер WAN удаленного доступа: system32\DRIVERS\ndiswan.sys (manual start) Интерфейс NetBIOS: system32\DRIVERS\netbios.sys (system) NetBios через TCP/IP: system32\DRIVERS\netbt.sys (system) Служба сетевого DDE: %SystemRoot%\system32\netdde.exe (disabled) Диспетчер сетевого DDE: %SystemRoot%\system32\netdde.exe (disabled) Сетевой вход в систему: %SystemRoot%\system32\lsass.exe (manual start) Сетевые подключения: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Служба сетевого расположения (NLA): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Outpost Firewall PlugIn (NNTPFILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\NNTPFILT.DLL (manual start) Поставщик поддержки безопасности NT LM: %SystemRoot%\system32\lsass.exe (manual start) Съемные ЗУ: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Драйвер фильтра IPX-трафика: system32\DRIVERS\nwlnkflt.sys (manual start) Драйвер пересылки IPX-трафика: system32\DRIVERS\nwlnkfwd.sys (manual start) Office Source Engine: "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" (manual start) Outpost Firewall Service: C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /service (autostart) Драйвер Intel PentiumIII процессора: system32\DRIVERS\p3.sys (system) Драйвер параллельного порта: system32\DRIVERS\parport.sys (manual start) Драйвер PCI шины: system32\DRIVERS\pci.sys (system) PCLEPCI: \??\C:\WINDOWS\system32\drivers\pclepci.sys (system) Padus ASPI Shell: system32\drivers\pfc.sys (manual start) Plug and Play: %SystemRoot%\system32\services.exe (autostart) Службы IPSEC: %SystemRoot%\system32\lsass.exe (autostart) Outpost Firewall PlugIn (POP3FILT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\POP3FILT.DLL (manual start) Минипорт WAN (PPTP): system32\DRIVERS\raspptp.sys (manual start) Outpost Firewall PlugIn (PROTECT.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\PROTECT.DLL (manual start) Защищенное хранилище: %SystemRoot%\system32\lsass.exe (autostart) Планировщик пакетов QoS: system32\DRIVERS\psched.sys (manual start) Драйвер прямой параллельной связи: system32\DRIVERS\ptilink.sys (manual start) PxHelp20: system32\DRIVERS\PxHelp20.sys (system) Драйвер авто-подключений удаленного доступа: system32\DRIVERS\rasacd.sys (system) Диспетчер авто-подключений удаленного доступа: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Минипорт WAN (L2TP): system32\DRIVERS\rasl2tp.sys (manual start) Диспетчер подключений удаленного доступа: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Драйвер PPPoE удаленного доступа: system32\DRIVERS\raspppoe.sys (manual start) Прямой параллельный порт: system32\DRIVERS\raspti.sys (manual start) Rdbss: system32\DRIVERS\rdbss.sys (system) RDPCDD: System32\DRIVERS\RDPCDD.sys (system) Драйвер перенаправителя устройства сервера терминалов: system32\DRIVERS\rdpdr.sys (manual start) Диспетчер сеанса справки для удаленного рабочего стола: C:\WINDOWS\system32\sessmgr.exe (manual start) Драйвер фильтра воспроизведения звука с цифровых компакт-дисков: system32\DRIVERS\redbook.sys (system) Маршрутизация и удаленный доступ: %SystemRoot%\system32\svchost.exe -k netsvcs (disabled) Удаленный реестр: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Локатор удаленного вызова процедур (RPC): %SystemRoot%\system32\locator.exe (manual start) Удаленный вызов процедур (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) QoS RSVP: %SystemRoot%\system32\rsvp.exe (manual start) S3Inc: system32\DRIVERS\s3mini.sys (manual start) Диспетчер учетных записей безопасности: %SystemRoot%\system32\lsass.exe (autostart) Смарт-карты: %SystemRoot%\System32\SCardSvr.exe (manual start) Планировщик заданий: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: system32\DRIVERS\secdrv.sys (manual start) Вторичный вход в систему: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Outpost Firewall PlugIn (SECRET.DLL): \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\SECRET.DLL (manual start) Уведомление о системных событиях: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Драйвер фильтра Serenum: system32\DRIVERS\serenum.sys (manual start) Драйвер последовательного порта: system32\DRIVERS\serial.sys (system) Брандмауэр Windows/Общий доступ к Интернету (ICS): %SystemRoot%\system32\svchost.exe -k netsvcs (manual start) Определение оборудования оболочки: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Разделитель звука ядра системы: system32\drivers\splitter.sys (manual start) Диспетчер очереди печати: %SystemRoot%\system32\spoolsv.exe (autostart) SQLAgent$MICROSOFTSMLBIZ: "c:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlagent.EXE" -i MICROSOFTSMLBIZ (manual start) Драйвер фильтра восстановления системы: system32\DRIVERS\sr.sys (system) Служба восстановления системы: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Srv: system32\DRIVERS\srv.sys (manual start) Служба обнаружения SSDP: %SystemRoot%\system32\svchost.exe -k LocalService (manual start) Служба загрузки изображений (WIA): %SystemRoot%\system32\svchost.exe -k imgsvc (manual start) Драйвер программной шины: system32\DRIVERS\swenum.sys (manual start) Синтезатор звуковой таблицы Microsoft Kernel GS: system32\drivers\swmidi.sys (manual start) MS Software Shadow Copy Provider: C:\WINDOWS\system32\dllhost.exe /Processid:{EE469D17-45D8-4513-8BB0-EAAA7ABA5E18} (manual start) Аудиоустройство ядра системы: system32\drivers\sysaudio.sys (manual start) Журналы и оповещения производительности: %SystemRoot%\system32\smlogsvc.exe (manual start) Телефония: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Драйвер протокола TCP/IP: system32\DRIVERS\tcpip.sys (system) Драйвер устройства терминала: system32\DRIVERS\termdd.sys (system) Службы терминалов: %SystemRoot%\System32\svchost -k DComLaunch (manual start) Темы: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Telnet: C:\WINDOWS\system32\tlntsvr.exe (disabled) Клиент отслеживания изменившихся связей: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Windows User Mode Driver Framework: C:\WINDOWS\system32\wdfmgr.exe (autostart) Драйвер обновления микропрограмм: system32\DRIVERS\update.sys (manual start) Узел универсальных PnP-устройств: %SystemRoot%\system32\svchost.exe -k LocalService (manual start) Источник бесперебойного питания: %SystemRoot%\System32\ups.exe (manual start) Драйвер минипорта Microsoft USB 2.0 расширенного хост-контроллера: system32\DRIVERS\usbehci.sys (manual start) Драйвер стандартного концентратора USB (Microsoft): system32\DRIVERS\usbhub.sys (manual start) Драйвер запоминающих устройств для USB: system32\DRIVERS\USBSTOR.SYS (manual start) Драйвер минипорта Microsoft USB универсального хост-контроллера: system32\DRIVERS\usbuhci.sys (manual start) Outpost Firewall Kernel Driver: \??\C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS (system) VgaSave: \SystemRoot\System32\drivers\vga.sys (system) VIA - фильтр шины AGP: system32\DRIVERS\viaagp.sys (system) ViaIde: system32\DRIVERS\viaide.sys (system) VIA AC'97 аудио контроллер (WDM): system32\drivers\ac97via.sys (manual start) Теневое копирование тома: %SystemRoot%\System32\vssvc.exe (manual start) Служба времени Windows: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Драйвер IP ARP удаленного доступа: system32\DRIVERS\wanarp.sys (manual start) Windows CE USB Serial Host Driver: system32\DRIVERS\wceusbsh.sys (manual start) Драйвер совместимости звука Microsoft (WINMM WDM): system32\drivers\wdmaud.sys (manual start) Веб-клиент: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Инструментарий управления Windows: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Служба серийных номеров переносных устройств мультимедиа: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Расширения драйверов WMI (Windows Management Instrumentation): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Адаптер производительности WMI: C:\WINDOWS\system32\wbem\wmiapsrv.exe (manual start) Центр обеспечения безопасности: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) Автоматическое обновление: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Беспроводная настройка: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Служба обеспечения сети: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: C:\DOCUME~1\ANYBOD~1.ZAV\LOCALS~1\Temp\2006216123744_mcappins.exe||C:\DOCUME~1\ANYBOD~1.ZAV\LOCALS~1\Temp\2006216123739_mcinfo.exe -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\system32\webcheck.dll SysTray: C:\WINDOWS\system32\stobject.dll -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run *Registry key not found* -------------------------------------------------- End of report, 34 737 bytes Report generated in 0,270 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only C:\Program Files\Dachshund Software - это свои =) Link to comment Share on other sites More sharing options...
Saule Posted February 16, 2006 Report Share Posted February 16, 2006 Мне, к сожалению, сейчас нужно уже уходить и я смогу нормально ответить только лишь к вечеру. Но я обратила вниманиена то, что у вас совсем нет антивируса (Ewido сложно с червями), поэтому, если вы ждать не можите, используйте: Cureit (DrWeb) http://download.drweb.com/drweb+cureit/ Либо любое из этих он-лайн-сканирований: Kaspersky Symantec AntiVirus BitDefender Но к вечеру я по этой теме еще напишу Link to comment Share on other sites More sharing options...
est412 Posted February 16, 2006 Author Report Share Posted February 16, 2006 ОК спасибочки, буду ждать. Пока вредную активность я аутпостом заблокировал - время терпит. Link to comment Share on other sites More sharing options...
est412 Posted February 16, 2006 Author Report Share Posted February 16, 2006 Дополнительная инфа - просканил Касперским-онлайн. Он нашел кучу инфекции в c:\System Volume Information\_restore{...}. Примерно такого типа: C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013368.sys Infected: SpamTool.Win32.Mailbot.aa C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013396.dll Infected: Trojan-Spy.Win32.Small.dg C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013403.exe Infected: not-virus:Hoax.Win32.Renos.as C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013404.exe Infected: Packed.Win32.Klone.b C:\System Volume Information\_restore{412E5D7F-081D-43F8-A2F3-94070CA67ABA}\RP111\A0013405.exe Infected: Trojan-Downloader.Win32.Adload.j Там я все удалил в режиме консоли восстановления. Не помогло =(. Винлогон продолжает лезть куда не надо. Link to comment Share on other sites More sharing options...
Saule Posted February 17, 2006 Report Share Posted February 17, 2006 (edited) Этого тоже мало :sm(100): Нужны ключики winlogon целиком. Поэтому, если есть такое желание, скачайте на рабочий стол L2MFix. Инсталлируйте прямо тут же, на рабочем столе. Затем в папке l2mfix найдите файл l2mfix.bat. Запустите. Откроется приложение, которое сначала попросит нажать любую клавишу для продолжения, а после выдаст меню с возможными действиями. Необходимо нажать - 1 и затем Enter. Через несколько секунд откроется текстовый файл, содержимое которого необходимо скопировать и показать (в PM или на форум, как вам удобнее). Этот текстовый файл также появится в папке l2mfix с названием report.txt. Edited February 17, 2006 by Saule Link to comment Share on other sites More sharing options...
est412 Posted February 17, 2006 Author Report Share Posted February 17, 2006 Вот результаты: L2MFIX find log 010406 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Окно свойств файла мультимедиа" "{176d6597-26d3-11d1-b350-080036a75b03}"="Управление сканером ICM" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="Свойства безопасности NTFS" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="Свойства документа OLE" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Расширения оболочки, обеспечивающие доступ к ресурсам" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL для видеоадаптера" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL для видеомонитора" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Расширение CPL панорамирования дисплея" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="Свойства безопасности DS" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Страница совместимости" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Обработчик фрагментов" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Программа копирования дисков" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Расширения оболочки для сетевых объектов Microsoft Windows" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="Управление монитором ICM" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="Управление принтером ICM" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Расширения оболочки для сжатия файлов" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Расширение оболочки Web Printer" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Контекстное меню шифрования" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Портфель" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="Расширение значка HyperTerminal" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="Профиль ICC" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Свойства безопасности принтеров" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Расширения оболочки, обеспечивающие доступ к ресурсам" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Расширение Crypto PKO" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Расширение шифрованной подписи" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Сетевые подключения" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Сетевые подключения" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="&Сканеры и камеры" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="&Сканеры и камеры" "{905667aa-acd6-11d2-8080-00805f6596d2}"="&Сканеры и камеры" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="&Сканеры и камеры" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="&Сканеры и камеры" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Расширения оболочки для Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Связь с данными (Microsoft)" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Назначенные задания" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Панель задач и меню ''Пуск''" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Поиск" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Справка и поддержка" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Справка и поддержка" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Запуск программы..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Интернет" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="Электронная почта" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fonts" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Администрирование" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Свойства: Предыдущие версии" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Предыдущие версии" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Панель инструментов Microsoft Internet" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Состояние загрузки" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Расширенная папка оболочки" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Расширенная папка оболочки 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Панель поиска" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="Поиск на панели" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Поиск в Интернете" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Утилита параметров дерева реестра" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Адрес" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="EditBox адреса" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Автозаполнение (Microsoft)" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="Список автозаполнения MRU" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Особый список автозаполнения MRU" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Доступный" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Всплывающая панель зв. дорожки" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Список автозаполнения журнала (Microsoft)" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Список автозаполнения папки оболочки (Microsoft)" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Контейнер списка множественных автозаполнений (Microsoft)" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Меню сайта панелей оболочки" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="DeskBarApp оболочки" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="DeskBar оболочки" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Rebar BandSite оболочки" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="Помощь пользователю" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Глобальные параметры папки" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Служба журнала адресов Url Microsoft" "{FF393560-C2A7-11CF-BFF4-444553540000}"="Журнал" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Временные файлы Интернета" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Временные файлы Интернета" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Обработчик поиска Microsoft Url" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="Экран пакета IE4" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Интернет" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Полоса Explorer" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="Папка кэша ActiveX" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Папка подписки" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Диспетчер приложений оболочки" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Перечислитель установленных приложений" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ средство извлечения эскизов файлов" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Обработчик эскизов итоговых сведений (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="Извлечение эскизов HTML" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Мастер веб-публикаций" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Заказ отпечатков через Интернет" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Объект мастера веб-публикаций" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Мастер получения цифрового паспорта" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="Учетные записи пользователей" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Файл каналов" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Ярлык канала" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Объект управления каналом" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Папка автономных файлов" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Людей..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Веб-папки" "{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{49BF5420-FA7F-11cf-8011-00A0C90A8F78}"="Mobile Device" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ cygwin1.dll Mon 16 Jan 2006 15:45:42 A.... 1 126 281 1.07 M cygz.dll Mon 16 Jan 2006 15:45:42 A.... 35 328 34.50 K 2 items found: 2 files, 0 directories. Total of file sizes: 1 161 609 bytes 1.11 M Locate .tmp files: No matches found. ********************************************************************************** Directory Listing of system files: Том в устройстве C не имеет метки. Серийный номер тома: 8050-2E04 Содержимое папки C:\WINDOWS\System32 23.01.2006 11:41 <DIR> dllcache 11.11.2005 16:21 <DIR> Microsoft 0 файлов 0 байт 2 папок 2 969 108 480 байт свободно Link to comment Share on other sites More sharing options...
Сыр Posted February 17, 2006 Report Share Posted February 17, 2006 (edited) задай поиск по файлам i386p.sys и msctl32.dll. Есть у меня смутные подозрения.... О результатах доложи. Я тут подумал, ты уверен, что удалил SpamTool.Win32.Mailbot.aa? P.S. почитай вот это Edited February 17, 2006 by Сыр Link to comment Share on other sites More sharing options...
est412 Posted February 17, 2006 Author Report Share Posted February 17, 2006 P.S. почитай вот это точно моё! читаю =) Link to comment Share on other sites More sharing options...
Saule Posted February 17, 2006 Report Share Posted February 17, 2006 Странно, что Касперский молчал в таком случае. Link to comment Share on other sites More sharing options...
Recommended Posts