Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Постоянный обрыв соединения с интернетом


Рекомендуемые сообщения

Здравствуйте, помогите, пожалуйста!

После полного излечения компьютера от различных троянов при попытке подключения к интернету через GPRS с помощью мобильного телефона соединение обрывается через секунду после установления и так повторяется всё время. Все настроено верно и прекрасно работает на незараженных компьютерах. В телефоне и дата-кабеле проблем нет. Помогает только полная переустановка системы. Может быть вирус что-то поганит в реестре, но вот что именно?

Логи прилагаются:

3_logs_files.rar

По рекомендации Pili запустил файл hijackthis.exe, нажал кнопку "Do a system scan only", в открывшемся окне поставил галочки напротив указанных строк и нажал кнопку "Fix Checked".

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Сделал дополнительные логи с помощью утилиты Deckard's System Scanner.

Содержимое extra.txt-

eckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0

Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6

CPU 0: Intel® Celeron CPU 1200MHz

Percentage of Memory in Use: 79%

Physical Memory (total/avail): 127.48 MiB / 26 MiB

Pagefile Memory (total/avail): 499.17 MiB / 358.22 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1945.89 MiB

A: is Removable (No Media)

C: is Fixed (NTFS) - 37.27 GiB total, 7.03 GiB free.

D: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - WDC WD400BB-00DEA0 - 37.27 GiB - 1 partition

\PARTITION0 (bootable) - Устанавливаемая файловая система - 37.27 GiB - C:

-- Security Center -------------------------------------------------------------

AUOptions is disabled.

Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AntiVirusDisableNotify is set.

FirewallDisableNotify is set.

UpdatesDisableNotify is set.

AV: Антивирус Касперского v6.0.2.614 () Disabled Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\‘…ђ‚…ђ\Application Data

CLIENTNAME=Console

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=‘Ћ‡‚…‡„€…

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\‘…ђ‚…ђ

LOGONSERVER=\\‘Ћ‡‚…‡„€…

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Common Files\Adobe\AGL

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 11 Stepping 4, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0b04

ProgramFiles=C:\Program Files

PROMPT=$P$G

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp

TMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp

USERDOMAIN=‘Ћ‡‚…‡„€…

USERNAME=‘…ђ‚…ђ

USERPROFILE=C:\Documents and Settings\‘…ђ‚…ђ

windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

СЕРВЕР (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

"Will Rock v1.2" --> "C:\Program Files\Russobit-M\WillRock\unins000.exe"

Архиватор WinRAR --> C:\Program Files\WinRAR\uninstall.exe

Антивирус Касперского 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920}

Антивирус Касперского 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920}

Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}

Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}

Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}

Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}

Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A80000000002}

Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}

Canon CAPT-skrivare --> C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP1UNIK.EXE

CorelDRAW Graphics Suite X3 --> MsiExec.exe /I{7C5123A9-30A8-4C44-89CA-A8C87A1FCC91}

FontNav --> MsiExec.exe /I{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}

HijackThis 2.0.2 --> "C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe" /uninstall

K-Lite Mega Codec Pack 3.4.5 --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"

Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}

RU --> MsiExec.exe /I{01AE68B4-C785-4865-BC7E-78456372BB75}

Update Manager --> MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}

VBA --> MsiExec.exe /I{C94E45B0-6AA6-4FB9-9AAE-22085F631880}

-- Application Event Log -------------------------------------------------------

Event Record #/Type409 / Error

Event Submitted/Written: 03/31/2008 10:14:37 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type405 / Error

Event Submitted/Written: 03/31/2008 10:05:47 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type399 / Error

Event Submitted/Written: 03/31/2008 09:49:51 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type398 / Error

Event Submitted/Written: 03/31/2008 09:47:05 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type397 / Error

Event Submitted/Written: 03/31/2008 09:44:53 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type1560 / Warning

Event Submitted/Written: 03/29/2008 11:02:31 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1559 / Warning

Event Submitted/Written: 03/29/2008 11:02:26 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1558 / Warning

Event Submitted/Written: 03/29/2008 11:02:19 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1529 / Warning

Event Submitted/Written: 03/29/2008 10:08:55 AM

Event ID/Source: 256 / PlugPlayManager

Event Description:

Таймаут отправки уведомления об изменении интерфейса устройства в окно "SAS window"

Event Record #/Type1502 / Warning

Event Submitted/Written: 03/28/2008 03:48:46 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

-- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------

Содержимое extra.txt-

Deckard's System Scanner v20071014.68

Run by СЕРВЕР on 2008-03-31 10:13:30

Computer is in Normal Mode.

--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --

6: 2008-03-30 23:13:46 UTC - RP6 - Deckard's System Scanner Restore Point

5: 2008-03-30 23:07:22 UTC - RP5 - Операция восстановления

4: 2008-03-30 22:39:28 UTC - RP4 - Deckard's System Scanner Restore Point

3: 2008-03-30 22:24:34 UTC - RP3 - Системная контрольная точка

2: 2008-03-29 03:57:06 UTC - RP2 - Системная контрольная точка

-- First Restore Point --

1: 2008-03-28 00:54:59 UTC - RP1 - Системная контрольная точка

Backed up registry hives.

Performed disk cleanup.

Percentage of Memory in Use: 77% (more than 75%).

Total Physical Memory: 128 MiB (512 MiB recommended).

-- HijackThis (run as СЕРВЕР.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:14:25, on 31.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\dss.exe

C:\DOCUME~1\E647~1\0016~1\(2)~1\HIJACK~1\СЕРВЕР.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Canon LBP-810 Statusfцnster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 4011 bytes

-- HijackThis Fixed Entries (C:\DOCUME~1\E647~1\0016~1\(2)~1\HIJACK~1\backups\)

backup-20080331-093902-671 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 RapidPort - c:\windows\system32\drivers\caplptn.sys <Not Verified; CANON INC.; Canon Advanced Printing Technology>

S3 mirrorv3 - c:\windows\system32\drivers\rminiv3.sys

S3 Ser2pl (Prolific Serial port driver) - c:\windows\system32\drivers\ser2pl.sys <Not Verified; Prolific Technology Inc.; Prolific USB-to-Serial Bridge Cable>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

All services whitelisted.

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Files created between 2008-02-29 and 2008-03-31 -----------------------------

2008-03-31 09:49:37 0 d-------- C:\Deckard(2)

2008-03-31 09:39:21 1978368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-03-29 10:59:37 0 d-------- C:\WINDOWS\system32\amvo0.dll

2008-03-29 10:58:56 0 d-------- C:\WINDOWS\system32\amvo.exe

2008-03-29 10:17:20 0 dr-hs---- C:\oufddh.exe

2008-03-19 11:11:51 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-19 11:00:09 0 d-------- C:\Program Files\Radmin Server 3.0

2008-03-19 10:59:46 0 d-------- C:\WINDOWS\system32\rserver30

2008-03-12 11:06:43 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 13:46:35 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-10 12:11:56 43 --a------ C:\Del_Autorun.bat

2008-03-10 12:11:56 106496 --a------ C:\anti_autorun.exe

2008-03-10 10:17:18 0 d-------- C:\Program Files\everestultimate_build_0782

2008-03-05 17:54:42 390240 --a------ C:\WINDOWS\system32\mkdriver.dll <Not Verified; Mydrivers; MkDriver>

2008-03-03 16:52:02 0 d-------- C:\Documents and Settings\All Users\Application Data\Macrovision

2008-03-02 00:04:00 0 d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir

2008-02-29 11:42:16 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR

2008-02-29 10:49:34 0 d-------- C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Help

2008-02-29 10:09:01 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY

-- Find3M Report ---------------------------------------------------------------

2008-03-30 20:39:17 346452 --a------ C:\WINDOWS\system32\perfh019.dat

2008-03-30 20:39:17 49552 --a------ C:\WINDOWS\system32\perfc019.dat

2008-03-19 16:02:41 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Adobe

2008-03-06 10:18:30 0 d--h----- C:\Program Files\Common Files\Adobe

2008-03-03 16:54:58 0 d-------- C:\Program Files\Corel

2008-02-28 22:54:34 62 --ahs---- C:\Documents and Settings\СЕРВЕР\Application Data\desktop.ini

2008-02-28 15:30:19 0 d-------- C:\Program Files\K-Lite Codec Pack

2008-02-28 15:29:13 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Real

2008-02-28 13:19:26 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Identities

2008-02-28 13:12:24 0 --a------ C:\AUTOEXEC.BAT

2008-02-28 13:07:04 0 d-------- C:\Program Files\Movie Maker

2008-02-28 13:04:54 22564 --a------ C:\WINDOWS\system32\emptyregdb.dat

2008-02-28 13:04:04 0 d-------- C:\Program Files\Messenger

2008-02-28 13:03:11 0 d-------- C:\Program Files\Windows NT

2008-02-28 10:05:55 0 d-------- C:\Program Files\XP Tweaker

2008-02-25 20:40:23 0 d-------- C:\Program Files\Russobit-M

2008-02-19 15:13:45 0 d-------- C:\Program Files\Magic Ball

2008-02-19 15:13:20 0 d-------- C:\Program Files\DiscCleaner

2008-02-05 11:50:27 0 d-------- C:\Program Files\Common Files\Raxco

2008-02-05 11:50:26 0 dr-h----- C:\Program Files\Common Files

2008-02-05 11:50:25 0 d-------- C:\Program Files\Raxco

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [15.02.2001 03:00]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [29.01.2007 23:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [18.08.2004 03:04]

C:\Documents and Settings\All Users\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \

Canon LBP-810 Statusfжnster.LNK - C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE [24.11.2007 20:49:09]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}]

Auto\command- E:\sal.xls.exe

AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}]

AutoRun\command- x6.bat

explore\Command- x6.bat

open\Command- x6.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a72110e0-e71a-11dc-bd48-e4c259d3eb45}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}]

AutoRun\command- oufddh.exe

explore\Command- oufddh.exe

open\Command- oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}]

AutoRun\command- wscript.exe .\.vbs

open\command- wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

-- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------

Может кто-нибудь уже сталкивался с подобной проблемой, а то мои поиски в Интернете не к чему не привели.

3_logs_files.rar

Ссылка на комментарий
Поделиться на другие сайты

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('E:\sal.xls.exe','');QuarantineFile('E:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\mkdriver.dll','');QuarantineFile('C:\Del_Autorun.bat','');QuarantineFile('C:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('E:\oufddh.exe');DeleteFile('C:\oufddh.exe');DeleteFile('E:\sal.xls.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Пофиксить в hijackthis

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

найдите и проверьте на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll

удалите файлы *.vbs в корне дисков, удалите полностью реестре

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

рекомендую защититься от autorun.inf, скопируйте текст ниже в блокнот, сохраните как noautorun.reg, примените

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""
Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

В меню AVZ выполнил скрипт, компьютер перезагрузился.

Файл quarantine.zip выложил на ifolder.ru и дал ссылку на него в ПМ Pili , в теле письма указал ссылку на тему.

Пофиксить в hijackthis

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe не удалось

из-за отсутствия данного кода

Проверил на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll-

Файл mkdriver.dll получен 2008.04.01 05:33:29 (CET)

Текущий статус: закончено

Результат: 0/32 (0%)

Удалил файлы *.vbs в корне дисков, удалил полностью запись в реестре

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Защитился от autorun.inf, скопировав текст в блокнот, сохранил как noautorun.reg и применил его.

После всего этого ровным счетом ничего не изменилось, обрыв соединения идет сразу же после установления соединения или при попытке открыть любой интернет браузер.

Ссылка на комментарий
Поделиться на другие сайты

Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к

проблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными.

P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса.

Ссылка на комментарий
Поделиться на другие сайты

Vlad2008: Скачайте AVPTool установите, проверьте систему.

Ещё можно попробовать так

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

**Примечание: Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол**

1. Не переименовывайте Combofix

2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix/

3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt и новый лог Hijackthis log в сообщение

**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**

Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к

проблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными.

Если вирусы к проблеме отношения не имеют, что же вы тогда сюда обратились?

P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса.

Это к чему?

Повторите логи AVZ и hijackthis

Ссылка на комментарий
Поделиться на другие сайты

Лог ComboFix.exe:

ComboFix 08-04-01.2 - СЕРВЕР 2008-04-03 9:11:05.1 - NTFSx86

Running from: C:\Documents and Settings\СЕРВЕР\Рабочий стол\от вирусов\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2008-03-02 to 2008-04-02 )))))))))))))))))))))))))))))))

.

2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Program Files\Avira

2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-03-31 10:08 . 2008-03-31 10:08 <DIR> d-------- C:\Deckard

2008-03-31 09:49 . 2008-03-31 09:49 <DIR> d-------- C:\Deckard(2)

2008-03-31 09:39 . 2008-04-02 16:59 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-03-31 09:39 . 2008-04-02 16:59 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-03-29 10:59 . 2008-03-29 10:59 <DIR> d-------- C:\WINDOWS\system32\amvo0.bak

2008-03-29 10:58 . 2008-03-29 10:58 <DIR> d-------- C:\WINDOWS\system32\amvo.bak

2008-03-29 10:17 . 2008-03-29 10:17 <DIR> d-------- C:\oufddh.bak

2008-03-19 11:11 . 2008-03-19 11:11 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-19 11:00 . 2008-03-19 11:04 <DIR> d-------- C:\Program Files\Radmin Server 3.0

2008-03-19 10:59 . 2008-03-19 11:04 <DIR> d-------- C:\WINDOWS\system32\rserver30

2008-03-12 11:07 . 2008-04-02 14:53 135,315 --a------ C:\WINDOWS\FontData.fdb

2008-03-12 11:06 . 2008-03-12 11:06 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 13:46 . 2008-03-11 13:46 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-10 12:11 . 2007-03-14 03:47 106,496 --a------ C:\anti_autorun.exe

2008-03-10 12:11 . 2007-02-19 14:21 43 --a------ C:\Del_Autorun.bat

2008-03-10 10:17 . 2008-03-10 10:17 <DIR> d-------- C:\Program Files\everestultimate_build_0782

2008-03-07 16:33 . 2008-04-02 16:26 660 --a------ C:\WINDOWS\kawai2004.hst

2008-03-05 17:54 . 2008-03-05 17:54 390,240 --a------ C:\WINDOWS\system32\mkdriver.dll

2008-03-03 16:52 . 2008-03-03 16:52 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision

2008-03-02 00:04 . 2008-03-02 00:04 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-02 22:15 95,520 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat

2008-04-02 05:59 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-04-02 05:59 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-04-02 05:19 8,965,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-04-01 05:57 121,292 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-04-01 05:57 10,784 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx

2008-04-01 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-19 05:02 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Adobe

2008-03-19 00:11 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-12 00:06 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 02:46 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-07 03:43 --------- d-s---w C:\Documents and Settings\СЕРВЕР\Application Data\Microsoft

2008-03-05 23:18 --------- d--h--w C:\Program Files\Common Files\Adobe

2008-03-03 05:54 --------- d-----w C:\Program Files\Corel

2008-02-29 00:42 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR

2008-02-28 23:09 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY

2008-02-28 05:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-02-28 05:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield

2008-02-28 04:30 --------- d-----w C:\Program Files\K-Lite Codec Pack

2008-02-28 04:29 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Real

2008-02-28 04:25 74,908 ----a-w C:\WINDOWS\system32\drivers\klick.dat

2008-02-28 04:25 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat

2008-02-28 02:19 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Identities

2008-02-27 23:05 --------- d-----w C:\Program Files\XP Tweaker

2008-02-25 10:01 --------- d-----w C:\Documents and Settings\Администратор\Application Data\ABBYY

2008-02-25 09:40 --------- d-----w C:\Program Files\Russobit-M

2008-02-19 04:13 --------- d-----w C:\Program Files\Magic Ball

2008-02-19 04:13 --------- d-----w C:\Program Files\DiscCleaner

2008-02-05 00:50 --------- d-----w C:\Program Files\Raxco

2008-02-05 00:50 --------- d-----w C:\Program Files\Common Files\Raxco

2008-01-21 15:08 8,655,984 ----a-w C:\cureit.exe

2007-08-27 00:49 306,928 ----a-w C:\Documents and Settings\Администратор\Application Data\GDIPFONTCACHEV1.DAT

2006-05-14 09:34 306,928 ----a-w C:\Documents and Settings\server\Application Data\GDIPFONTCACHEV1.DAT

2006-03-16 05:09 2,492 ----a-w C:\Documents and Settings\server\Application Data\ViewerApp.dat

2004-10-20 10:35 1,835,008 ---ha-w C:\Documents and Settings\Созвездие\NTUSER.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 03:04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-15 03:00 22528]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 03:04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

R2 RapidPort;RapidPort;C:\WINDOWS\system32\Drivers\CAPLPTN.SYS [2001-02-05 18:00]

S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-05-09 02:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}]

\Shell\Auto\command - E:\sal.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}]

\Shell\AutoRun\command - x6.bat

\Shell\explore\Command - x6.bat

\Shell\open\Command - x6.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}]

\Shell\AutoRun\command - oufddh.exe

\Shell\explore\Command - oufddh.exe

\Shell\open\Command - oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}]

\Shell\AutoRun\command - wscript.exe .\.vbs

\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-03 09:15:53

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-04-03 9:24:46

ComboFix-quarantined-files.txt 2008-04-02 22:24:39

21 папок 7,428,087,808 байт свободно

26 папок 7,418,368,000 байт свободно

Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9:38:36, on 03.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Canon LBP-810 Statusfцnster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 4808 bytes

Если вирусы к проблеме отношения не имеют, что же вы тогда сюда обратились?

Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к

проблеме не имеют, но это же не значит что проблему не могли вызвать другие вирусы, а проблема вызвана именно вирусами.

Это к чему?

Для выявления названий вирусов, которые приводят к моей проблеме, но если это не к чему, то этого делать не буду

Ссылка на комментарий
Поделиться на другие сайты

У вас Avira и Kaspersky Anti-Virus - оставьте что нибудь одно. Других зловредов не видно, кроме amvo, mkdriver.dll xbcn, в реестре mountpoints2 вы не удалили.

Отключите все антивирусы и др. защитные программы.

Скопируйте текст ниже в блокнот и сохраните на рабочий стол как CFScript.txt

File::C:\WINDOWS\system32\amvo0.bakC:\WINDOWS\system32\amvo.bakC:\oufddh.bakRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]

Перетащите CFScript.txt на пиктограмму ComboFix

CFScript.gif

После перезагрузки выложите снова текст из ComboFix.txt и далее удалите ComboFix - пуск-выполнить ComboFix /u

Скачайте Malwarebytes' Anti-Malware обновите базы и запустите сканирование (выберите "Perform Full Scan"), картинки по исп-ию MBAM можете увидеть тут После окончания сканирования, выложите лог сканирования MBAM в ваше следующее сообщение, после чего можете деинсталлировать MBAM

Если проблема не решиться, можете воспользоваться утилитой IEFIX или перейти на IE7 (ещё лучше firefox или Opera)

post-60890-1207200206_thumb.gif

Ссылка на комментарий
Поделиться на другие сайты

1 Избавиться от веревки и перейти на ИК или блютус

2 Снизить скорость у модема (т-на) и у порта

3 Закачать пробную Касперу с сайта ( 7-ю) или списать свежие базы где-нибудь

4 Если не поможет- переустановка с ФОРМАТИРОВАНИЕМ.

П.С. Как обновить базы-см. obzorkazan.narod.ru

П.П.С. Сам настрадался с мобилой...Кстати,попытайтесь поменять провайдера.

Ссылка на комментарий
Поделиться на другие сайты

По рекомендации Pili скопировал текст в блокнот, сохранил на рабочий стол как CFScript.txt и перетащил CFScript.txt на пиктограмму ComboFix, после перезагрузки удалил ComboFix - пуск-выполнить ComboFix /u

Текст из ComboFix.txt:

ComboFix 08-04-01.2 - СЕРВЕР 2008-04-04 15:18:25.2 - NTFSx86  Running from: C:\Documents and Settings\СЕРВЕР\Рабочий стол\от вирусов\ComboFix.exe  Command switches used :: C:\Documents and Settings\‘…ђ‚…ђ\ђ Ў®зЁ© бв®«\®в ўЁагб®ў\CFScript.txt   * Created a new restore point	[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]  .	(((((((((((((((((((((((((   Files Created from 2008-03-04 to 2008-04-04  )))))))))))))))))))))))))))))))  .	2008-04-01 11:18 . 2008-04-01 11:18	<DIR>	d--------	C:\Program Files\Avira  2008-04-01 11:18 . 2008-04-01 11:18	<DIR>	d--------	C:\Documents and Settings\All Users\Application Data\Avira  2008-03-31 10:08 . 2008-03-31 10:08	<DIR>	d--------	C:\Deckard  2008-03-31 09:49 . 2008-03-31 09:49	<DIR>	d--------	C:\Deckard(2)  2008-03-31 09:39 . 2008-04-04 12:55	1,978,368	--a------	C:\Documents and Settings\СЕРВЕР\ntuser.dat  2008-03-31 09:39 . 2008-04-04 12:55	1,978,368	--a------	C:\Documents and Settings\СЕРВЕР\ntuser.dat  2008-03-29 10:59 . 2008-03-29 10:59	<DIR>	d--------	C:\WINDOWS\system32\amvo0.bak  2008-03-29 10:58 . 2008-03-29 10:58	<DIR>	d--------	C:\WINDOWS\system32\amvo.bak  2008-03-29 10:17 . 2008-03-29 10:17	<DIR>	d--------	C:\oufddh.bak  2008-03-19 11:11 . 2008-03-19 11:11	<DIR>	d--------	C:\Documents and Settings\СЕРВЕР\Application Data\Radmin  2008-03-19 11:00 . 2008-03-19 11:04	<DIR>	d--------	C:\Program Files\Radmin Server 3.0  2008-03-19 10:59 . 2008-03-19 11:04	<DIR>	d--------	C:\WINDOWS\system32\rserver30  2008-03-12 11:07 . 2008-04-02 14:53	135,315	--a------	C:\WINDOWS\FontData.fdb  2008-03-12 11:06 . 2008-03-12 11:06	<DIR>	d--------	C:\Documents and Settings\СЕРВЕР\Application Data\Corel  2008-03-11 13:46 . 2008-03-11 13:46	<DIR>	d--------	C:\Documents and Settings\СЕРВЕР\Application Data\Opera  2008-03-10 12:11 . 2007-03-14 03:47	106,496	--a------	C:\anti_autorun.exe  2008-03-10 12:11 . 2007-02-19 14:21	43	--a------	C:\Del_Autorun.bat  2008-03-10 10:17 . 2008-03-10 10:17	<DIR>	d--------	C:\Program Files\everestultimate_build_0782  2008-03-07 16:33 . 2008-04-03 16:56	660	--a------	C:\WINDOWS\kawai2004.hst  2008-03-05 17:54 . 2008-03-05 17:54	390,240	--a------	C:\WINDOWS\system32\mkdriver.dll	.  ((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))  .  2008-04-04 04:22	99,872	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat  2008-04-04 04:22	21,692,192	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat  2008-04-04 01:56	293,444	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx  2008-04-04 01:56	11,336	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx  2008-04-04 01:55	1,978,368	----a-w	C:\Documents and Settings\СЕРВЕР\ntuser.dat  2008-04-04 01:55	1,978,368	----a-w	C:\Documents and Settings\СЕРВЕР\ntuser.dat  2008-04-01 04:36	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Kaspersky Lab  2008-03-19 05:02	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Adobe  2008-03-19 00:11	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Radmin  2008-03-12 00:06	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Corel  2008-03-11 02:46	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Opera  2008-03-07 03:43	---------	d-s---w	C:\Documents and Settings\СЕРВЕР\Application Data\Microsoft  2008-03-05 23:18	---------	d--h--w	C:\Program Files\Common Files\Adobe  2008-03-03 05:54	---------	d-----w	C:\Program Files\Corel  2008-03-03 05:52	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Macrovision  2008-03-01 13:04	---------	d-----w	C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir  2008-02-29 00:42	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR  2008-02-28 23:09	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY  2008-02-28 05:45	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Adobe Systems  2008-02-28 05:25	---------	d-----w	C:\Documents and Settings\All Users\Application Data\InstallShield  2008-02-28 04:30	---------	d-----w	C:\Program Files\K-Lite Codec Pack  2008-02-28 04:29	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Real  2008-02-28 04:25	74,908	----a-w	C:\WINDOWS\system32\drivers\klick.dat  2008-02-28 04:25	74,396	----a-w	C:\WINDOWS\system32\drivers\klin.dat  2008-02-28 02:19	---------	d-----w	C:\Documents and Settings\СЕРВЕР\Application Data\Identities  2008-02-28 01:41	3,387,392	----a-w	C:\Documents and Settings\Администратор\ntuser.dat  2008-02-27 23:05	---------	d-----w	C:\Program Files\XP Tweaker  2008-02-25 10:01	---------	d-----w	C:\Documents and Settings\Администратор\Application Data\ABBYY  2008-02-25 09:40	---------	d-----w	C:\Program Files\Russobit-M  2008-02-21 02:43	1,048,576	---ha-w	C:\Documents and Settings\Гость\ntuser.dat  2008-02-19 04:13	---------	d-----w	C:\Program Files\Magic Ball  2008-02-19 04:13	---------	d-----w	C:\Program Files\DiscCleaner  2008-02-13 06:59	---------	d-----w	C:\Documents and Settings\Администратор\Application Data\Microsoft  2008-02-05 00:50	---------	d-----w	C:\Program Files\Raxco  2008-02-05 00:50	---------	d-----w	C:\Program Files\Common Files\Raxco  2008-01-21 15:08	8,655,984	----a-w	C:\cureit.exe  2007-08-27 00:49	306,928	----a-w	C:\Documents and Settings\Администратор\Application Data\GDIPFONTCACHEV1.DAT  2006-05-14 09:34	306,928	----a-w	C:\Documents and Settings\server\Application Data\GDIPFONTCACHEV1.DAT  2006-03-16 05:09	2,492	----a-w	C:\Documents and Settings\server\Application Data\ViewerApp.dat  2004-10-20 10:35	1,835,008	---ha-w	C:\Documents and Settings\Созвездие\NTUSER.DAT  .	(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))  .  .  *Note* empty entries & legit default entries are not shown   REGEDIT4	[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 03:04 15360]	[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  "CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-15 03:00 22528]  "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]	[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]  "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 03:04 15360]	[HKEY_LOCAL_MACHINE\software\microsoft\security center]  "AntiVirusDisableNotify"=dword:00000001  "UpdatesDisableNotify"=dword:00000001	[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]  "DisableMonitoring"=dword:00000001	[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]  "EnableFirewall"= 0 (0x0)	[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]  "%windir%\\system32\\sessmgr.exe"=	R2 RapidPort;RapidPort;C:\WINDOWS\system32\Drivers\CAPLPTN.SYS [2001-02-05 18:00]  S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-05-09 02:46]	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}]  \Shell\Auto\command - E:\sal.xls.exe  \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}]  \Shell\AutoRun\command - E:\oufddh.exe  \Shell\explore\Command - E:\oufddh.exe  \Shell\open\Command - E:\oufddh.exe	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}]  \Shell\AutoRun\command - x6.bat  \Shell\explore\Command - x6.bat  \Shell\open\Command - x6.bat	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}]  \Shell\AutoRun\command - E:\oufddh.exe  \Shell\explore\Command - E:\oufddh.exe  \Shell\open\Command - E:\oufddh.exe	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}]  \Shell\AutoRun\command - E:\oufddh.exe  \Shell\explore\Command - E:\oufddh.exe  \Shell\open\Command - E:\oufddh.exe	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}]  \Shell\AutoRun\command - oufddh.exe  \Shell\explore\Command - oufddh.exe  \Shell\open\Command - oufddh.exe	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}]  \Shell\AutoRun\command - wscript.exe .\.vbs  \Shell\open\command - wscript.exe .\.vbs	[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]  \Shell\AutoRun\command - E:\oufddh.exe  \Shell\explore\Command - E:\oufddh.exe  \Shell\open\Command - E:\oufddh.exe	.  **************************************************************************	catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net  Rootkit scan 2008-04-04 15:22:57  Windows 5.1.2600 Service Pack 2 NTFS	scanning hidden processes ...	 scanning hidden autostart entries ...	scanning hidden files ...	 scan completed successfully   hidden files: 0	 **************************************************************************  .  Completion time: 2008-04-04 15:30:52  ComboFix-quarantined-files.txt  2008-04-04 04:30:45  ComboFix2.txt  2008-04-02 22:24:47				21 папок   7,535,652,864 байт свободно				26 папок   7,529,885,696 байт свободно  

Скачал Malwarebytes' Anti-Malware и запустил сканирование (выбрал "Perform Full Scan"):

Malwarebytes' Anti-Malware 1.10  Database version: 581	Scan type: Full Scan (C:\|)  Objects scanned: 241235  Time elapsed: 1 hour(s), 3 minute(s), 29 second(s)	Memory Processes Infected: 0  Memory Modules Infected: 0  Registry Keys Infected: 2  Registry Values Infected: 0  Registry Data Items Infected: 0  Folders Infected: 0  Files Infected: 0	Memory Processes Infected:  (No malicious items detected)	Memory Modules Infected:  (No malicious items detected)	Registry Keys Infected:  HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> No action taken.	Registry Values Infected:  (No malicious items detected)	Registry Data Items Infected:  (No malicious items detected)	Folders Infected:  (No malicious items detected)	Files Infected:  (No malicious items detected)  

Воспользовался утилитой IEFIX, попробовал Opera9.23, проблема так и не решилась,

IE7 еще не ставил.

1 Избавиться от веревки и перейти на ИК или блютус

В дата-кабеле проблем никаких нет, до сих пор им пользуюсь без проблем на незараженных машинах

2 Снизить скорость у модема (т-на) и у порта

Не поможет

3 Закачать пробную Касперу с сайта ( 7-ю) или списать свежие базы где-нибудь

Вирус уже выполнил свою деструктивную функцию и его удаление не решает проблемы

4 Если не поможет- переустановка с ФОРМАТИРОВАНИЕМ.

:blink: Вот это поможет на все 100%,помогает и переустановка без форматирования, вирус скорее всего сбивает не известные мне настройки Windows

Ссылка на комментарий
Поделиться на другие сайты

Vlad2008: повторите логи AVZ и hijackthiz

Давайте посмотрим ещё одной утилитой. Скачайте и запустите Online Solutions Autorun Manager (можно использовать версию, не требующую установки), дождитесь пока закончится сканирование и затем нажмите на третью кнопку в верхнем меню - (кнопка Export). Сохраните отчет в формате .html, заархвируйте и вложите в сообщение.

Ещё вариант попробуйте удалить Prolific Serial port driver и другие драйвера для тел. и заново поставить (можно также поопробовать обновить драйвера, использовать другую версию ser2pl.sys)

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...