Постоянный обрыв соединения с интернетом

**Vlad2008** · 31 марта, 2008

Здравствуйте, помогите, пожалуйста!

После полного излечения компьютера от различных троянов при попытке подключения к интернету через GPRS с помощью мобильного телефона соединение обрывается через секунду после установления и так повторяется всё время. Все настроено верно и прекрасно работает на незараженных компьютерах. В телефоне и дата-кабеле проблем нет. Помогает только полная переустановка системы. Может быть вирус что-то поганит в реестре, но вот что именно?

Логи прилагаются:

3_logs_files.rar

По рекомендации Pili запустил файл hijackthis.exe, нажал кнопку "Do a system scan only", в открывшемся окне поставил галочки напротив указанных строк и нажал кнопку "Fix Checked".

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Сделал дополнительные логи с помощью утилиты Deckard's System Scanner.

Содержимое extra.txt-

eckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0

Architecture: X86; Language: Other (0419) - see http://preview.tinyurl.com/mhhp6

CPU 0: Intel® Celeron CPU 1200MHz

Percentage of Memory in Use: 79%

Physical Memory (total/avail): 127.48 MiB / 26 MiB

Pagefile Memory (total/avail): 499.17 MiB / 358.22 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1945.89 MiB

A: is Removable (No Media)

C: is Fixed (NTFS) - 37.27 GiB total, 7.03 GiB free.

D: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - WDC WD400BB-00DEA0 - 37.27 GiB - 1 partition

\PARTITION0 (bootable) - Устанавливаемая файловая система - 37.27 GiB - C:

-- Security Center -------------------------------------------------------------

AUOptions is disabled.

Windows Internal Firewall is disabled.

FirstRunDisabled is set.

AntiVirusDisableNotify is set.

FirewallDisableNotify is set.

UpdatesDisableNotify is set.

AV: Антивирус Касперского v6.0.2.614 () Disabled Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\‘…ђ‚…ђ\Application Data

CLIENTNAME=Console

CommonProgramFiles=C:\Program Files\Common Files

COMPUTERNAME=‘Ћ‡‚…‡„€…

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\‘…ђ‚…ђ

LOGONSERVER=\\‘Ћ‡‚…‡„€…

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\Common Files\Adobe\AGL

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 11 Stepping 4, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0b04

ProgramFiles=C:\Program Files

PROMPT=$P$G

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp

TMP=C:\DOCUME~1\E647~1\LOCALS~1\Temp

USERDOMAIN=‘Ћ‡‚…‡„€…

USERNAME=‘…ђ‚…ђ

USERPROFILE=C:\Documents and Settings\‘…ђ‚…ђ

windir=C:\WINDOWS

-- User Profiles ---------------------------------------------------------------

СЕРВЕР (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

"Will Rock v1.2" --> "C:\Program Files\Russobit-M\WillRock\unins000.exe"

Архиватор WinRAR --> C:\Program Files\WinRAR\uninstall.exe

Антивирус Касперского 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920}

Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-1033-0000-0000-000000000001}

Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5B39}

Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-1033-0000-8E67-000000000001}

Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0409-1E257A25E34D}

Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A80000000002}

Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-1033-0000-B58E-000000000001}

Canon CAPT-skrivare --> C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAP1UNIK.EXE

CorelDRAW Graphics Suite X3 --> MsiExec.exe /I{7C5123A9-30A8-4C44-89CA-A8C87A1FCC91}

FontNav --> MsiExec.exe /I{4E98F23B-1328-4322-A6EC-2EDC8FC3A4FE}

HijackThis 2.0.2 --> "C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe" /uninstall

K-Lite Mega Codec Pack 3.4.5 --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"

Microsoft Office - профессиональный выпуск версии 2003 --> MsiExec.exe /I{90110419-6000-11D3-8CFE-0150048383C9}

RU --> MsiExec.exe /I{01AE68B4-C785-4865-BC7E-78456372BB75}

Update Manager --> MsiExec.exe /I{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}

VBA --> MsiExec.exe /I{C94E45B0-6AA6-4FB9-9AAE-22085F631880}

-- Application Event Log -------------------------------------------------------

Event Record #/Type409 / Error

Event Submitted/Written: 03/31/2008 10:14:37 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type405 / Error

Event Submitted/Written: 03/31/2008 10:05:47 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type399 / Error

Event Submitted/Written: 03/31/2008 09:49:51 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type398 / Error

Event Submitted/Written: 03/31/2008 09:47:05 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

Event Record #/Type397 / Error

Event Submitted/Written: 03/31/2008 09:44:53 AM

Event ID/Source: 8 / crypt32

Event Description:

Ошибка получения автоматического обновления последовательного номера стороннего корневого списка из: <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> с кодом ошибки: Не удается найти сервер с таким именем или адресом

-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.

-- System Event Log ------------------------------------------------------------

Event Record #/Type1560 / Warning

Event Submitted/Written: 03/29/2008 11:02:31 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1559 / Warning

Event Submitted/Written: 03/29/2008 11:02:26 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1558 / Warning

Event Submitted/Written: 03/29/2008 11:02:19 AM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

Event Record #/Type1529 / Warning

Event Submitted/Written: 03/29/2008 10:08:55 AM

Event ID/Source: 256 / PlugPlayManager

Event Description:

Таймаут отправки уведомления об изменении интерфейса устройства в окно "SAS window"

Event Record #/Type1502 / Warning

Event Submitted/Written: 03/28/2008 03:48:46 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Перенаправитель не смог определить тип подключения.

-- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------

Содержимое extra.txt-

Deckard's System Scanner v20071014.68

Run by СЕРВЕР on 2008-03-31 10:13:30

Computer is in Normal Mode.

--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --

6: 2008-03-30 23:13:46 UTC - RP6 - Deckard's System Scanner Restore Point

5: 2008-03-30 23:07:22 UTC - RP5 - Операция восстановления

4: 2008-03-30 22:39:28 UTC - RP4 - Deckard's System Scanner Restore Point

3: 2008-03-30 22:24:34 UTC - RP3 - Системная контрольная точка

2: 2008-03-29 03:57:06 UTC - RP2 - Системная контрольная точка

-- First Restore Point --

1: 2008-03-28 00:54:59 UTC - RP1 - Системная контрольная точка

Backed up registry hives.

Performed disk cleanup.

Percentage of Memory in Use: 77% (more than 75%).

Total Physical Memory: 128 MiB (512 MiB recommended).

-- HijackThis (run as СЕРВЕР.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:14:25, on 31.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\dss.exe

C:\DOCUME~1\E647~1\0016~1\(2)~1\HIJACK~1\СЕРВЕР.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Canon LBP-810 Statusfцnster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 4011 bytes

-- HijackThis Fixed Entries (C:\DOCUME~1\E647~1\0016~1$2)~1\HIJACK~1\backups$

backup-20080331-093902-671 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 RapidPort - c:\windows\system32\drivers\caplptn.sys <Not Verified; CANON INC.; Canon Advanced Printing Technology>

S3 mirrorv3 - c:\windows\system32\drivers\rminiv3.sys

S3 Ser2pl (Prolific Serial port driver) - c:\windows\system32\drivers\ser2pl.sys <Not Verified; Prolific Technology Inc.; Prolific USB-to-Serial Bridge Cable>

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

All services whitelisted.

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Files created between 2008-02-29 and 2008-03-31 -----------------------------

2008-03-31 09:49:37 0 d-------- C:\Deckard(2)

2008-03-31 09:39:21 1978368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-03-29 10:59:37 0 d-------- C:\WINDOWS\system32\amvo0.dll

2008-03-29 10:58:56 0 d-------- C:\WINDOWS\system32\amvo.exe

2008-03-29 10:17:20 0 dr-hs---- C:\oufddh.exe

2008-03-19 11:11:51 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-19 11:00:09 0 d-------- C:\Program Files\Radmin Server 3.0

2008-03-19 10:59:46 0 d-------- C:\WINDOWS\system32\rserver30

2008-03-12 11:06:43 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 13:46:35 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-10 12:11:56 43 --a------ C:\Del_Autorun.bat

2008-03-10 12:11:56 106496 --a------ C:\anti_autorun.exe

2008-03-10 10:17:18 0 d-------- C:\Program Files\everestultimate_build_0782

2008-03-05 17:54:42 390240 --a------ C:\WINDOWS\system32\mkdriver.dll <Not Verified; Mydrivers; MkDriver>

2008-03-03 16:52:02 0 d-------- C:\Documents and Settings\All Users\Application Data\Macrovision

2008-03-02 00:04:00 0 d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir

2008-02-29 11:42:16 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR

2008-02-29 10:49:34 0 d-------- C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\Help

2008-02-29 10:09:01 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY

-- Find3M Report ---------------------------------------------------------------

2008-03-30 20:39:17 346452 --a------ C:\WINDOWS\system32\perfh019.dat

2008-03-30 20:39:17 49552 --a------ C:\WINDOWS\system32\perfc019.dat

2008-03-19 16:02:41 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Adobe

2008-03-06 10:18:30 0 d--h----- C:\Program Files\Common Files\Adobe

2008-03-03 16:54:58 0 d-------- C:\Program Files\Corel

2008-02-28 22:54:34 62 --ahs---- C:\Documents and Settings\СЕРВЕР\Application Data\desktop.ini

2008-02-28 15:30:19 0 d-------- C:\Program Files\K-Lite Codec Pack

2008-02-28 15:29:13 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Real

2008-02-28 13:19:26 0 d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Identities

2008-02-28 13:12:24 0 --a------ C:\AUTOEXEC.BAT

2008-02-28 13:07:04 0 d-------- C:\Program Files\Movie Maker

2008-02-28 13:04:54 22564 --a------ C:\WINDOWS\system32\emptyregdb.dat

2008-02-28 13:04:04 0 d-------- C:\Program Files\Messenger

2008-02-28 13:03:11 0 d-------- C:\Program Files\Windows NT

2008-02-28 10:05:55 0 d-------- C:\Program Files\XP Tweaker

2008-02-25 20:40:23 0 d-------- C:\Program Files\Russobit-M

2008-02-19 15:13:45 0 d-------- C:\Program Files\Magic Ball

2008-02-19 15:13:20 0 d-------- C:\Program Files\DiscCleaner

2008-02-05 11:50:27 0 d-------- C:\Program Files\Common Files\Raxco

2008-02-05 11:50:26 0 dr-h----- C:\Program Files\Common Files

2008-02-05 11:50:25 0 d-------- C:\Program Files\Raxco

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [15.02.2001 03:00]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [29.01.2007 23:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [18.08.2004 03:04]

C:\Documents and Settings\All Users\ѓ« ў®Ґ ¬Ґо\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \

Canon LBP-810 Statusfжnster.LNK - C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE [24.11.2007 20:49:09]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}]

Auto\command- E:\sal.xls.exe

AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}]

AutoRun\command- x6.bat

explore\Command- x6.bat

open\Command- x6.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a72110e0-e71a-11dc-bd48-e4c259d3eb45}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}]

AutoRun\command- oufddh.exe

explore\Command- oufddh.exe

open\Command- oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}]

AutoRun\command- wscript.exe .\.vbs

open\command- wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]

AutoRun\command- E:\oufddh.exe

explore\Command- E:\oufddh.exe

open\Command- E:\oufddh.exe

-- End of Deckard's System Scanner: finished at 2008-03-31 10:15:08 ------------

Может кто-нибудь уже сталкивался с подобной проблемой, а то мои поиски в Интернете не к чему не привели.

3_logs_files.rar

**Pili** · 31 марта, 2008

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('E:\sal.xls.exe','');QuarantineFile('E:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\mkdriver.dll','');QuarantineFile('C:\Del_Autorun.bat','');QuarantineFile('C:\oufddh.exe','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('E:\oufddh.exe');DeleteFile('C:\oufddh.exe');DeleteFile('E:\sal.xls.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(8);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Пофиксить в hijackthis

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

найдите и проверьте на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll

удалите файлы *.vbs в корне дисков, удалите полностью реестре

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

рекомендую защититься от autorun.inf, скопируйте текст ниже в блокнот, сохраните как noautorun.reg, примените

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]"AutoRun"=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000ff[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]"*.*"=""

Изменено 31 марта, 2008 пользователем Pili

**Vlad2008** · 1 апреля, 2008

В меню AVZ выполнил скрипт, компьютер перезагрузился.

Файл quarantine.zip выложил на ifolder.ru и дал ссылку на него в ПМ Pili , в теле письма указал ссылку на тему.

Пофиксить в hijackthis

Код

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe не удалось

из-за отсутствия данного кода

Проверил на virustotal.com файл C:\WINDOWS\system32\mkdriver.dll-

Файл mkdriver.dll получен 2008.04.01 05:33:29 (CET)

Текущий статус: закончено

Результат: 0/32 (0%)

Удалил файлы *.vbs в корне дисков, удалил полностью запись в реестре

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

Защитился от autorun.inf, скопировав текст в блокнот, сохранил как noautorun.reg и применил его.

После всего этого ровным счетом ничего не изменилось, обрыв соединения идет сразу же после установления соединения или при попытке открыть любой интернет браузер.

**Vlad2008** · 1 апреля, 2008

Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к

проблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными.

P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса.

**Pili** · 1 апреля, 2008

Vlad2008: Скачайте AVPTool установите, проверьте систему.

Ещё можно попробовать так

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

**Примечание: Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол**

1. Не переименовывайте Combofix

2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix/

3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt и новый лог Hijackthis log в сообщение

**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**

Части от вируса: amvo.exe; amvo0.dll; oufddh.exe скорее всего никакого отношения к
проблеме не имеют, так как на других компьютерах проблем с выходом в интернет нет, как с вылеченными от этого вируса машинами так и не вылеченными.

Если вирусы к проблеме отношения не имеют, что же вы тогда сюда обратились?

P.S. Попробовую заразить свой домашний компьютер всеми вирусами по очереди, зархивированными мною за последние 3 месяца, для выявления проблемного вируса.

Это к чему?

Повторите логи AVZ и hijackthis

**Vlad2008** · 2 апреля, 2008

Лог ComboFix.exe:

ComboFix 08-04-01.2 - СЕРВЕР 2008-04-03 9:11:05.1 - NTFSx86

Running from: C:\Documents and Settings\СЕРВЕР\Рабочий стол\от вирусов\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((( Files Created from 2008-03-02 to 2008-04-02 )))))))))))))))))))))))))))))))

.

2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Program Files\Avira

2008-04-01 11:18 . 2008-04-01 11:18 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-03-31 10:08 . 2008-03-31 10:08 <DIR> d-------- C:\Deckard

2008-03-31 09:49 . 2008-03-31 09:49 <DIR> d-------- C:\Deckard(2)

2008-03-31 09:39 . 2008-04-02 16:59 1,978,368 --a------ C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-03-29 10:59 . 2008-03-29 10:59 <DIR> d-------- C:\WINDOWS\system32\amvo0.bak

2008-03-29 10:58 . 2008-03-29 10:58 <DIR> d-------- C:\WINDOWS\system32\amvo.bak

2008-03-29 10:17 . 2008-03-29 10:17 <DIR> d-------- C:\oufddh.bak

2008-03-19 11:11 . 2008-03-19 11:11 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-19 11:00 . 2008-03-19 11:04 <DIR> d-------- C:\Program Files\Radmin Server 3.0

2008-03-19 10:59 . 2008-03-19 11:04 <DIR> d-------- C:\WINDOWS\system32\rserver30

2008-03-12 11:07 . 2008-04-02 14:53 135,315 --a------ C:\WINDOWS\FontData.fdb

2008-03-12 11:06 . 2008-03-12 11:06 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 13:46 . 2008-03-11 13:46 <DIR> d-------- C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-10 12:11 . 2007-03-14 03:47 106,496 --a------ C:\anti_autorun.exe

2008-03-10 12:11 . 2007-02-19 14:21 43 --a------ C:\Del_Autorun.bat

2008-03-10 10:17 . 2008-03-10 10:17 <DIR> d-------- C:\Program Files\everestultimate_build_0782

2008-03-07 16:33 . 2008-04-02 16:26 660 --a------ C:\WINDOWS\kawai2004.hst

2008-03-05 17:54 . 2008-03-05 17:54 390,240 --a------ C:\WINDOWS\system32\mkdriver.dll

2008-03-03 16:52 . 2008-03-03 16:52 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Macrovision

2008-03-02 00:04 . 2008-03-02 00:04 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\MSScanAppDataDir

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-02 22:15 95,520 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat

2008-04-02 05:59 1,978,368 ----a-w C:\Documents and Settings\СЕРВЕР\ntuser.dat

2008-04-02 05:19 8,965,408 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-04-01 05:57 121,292 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-04-01 05:57 10,784 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx

2008-04-01 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-03-19 05:02 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Adobe

2008-03-19 00:11 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Radmin

2008-03-12 00:06 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Corel

2008-03-11 02:46 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Opera

2008-03-07 03:43 --------- d-s---w C:\Documents and Settings\СЕРВЕР\Application Data\Microsoft

2008-03-05 23:18 --------- d--h--w C:\Program Files\Common Files\Adobe

2008-03-03 05:54 --------- d-----w C:\Program Files\Corel

2008-02-29 00:42 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\WinRAR

2008-02-28 23:09 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\ABBYY

2008-02-28 05:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-02-28 05:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield

2008-02-28 04:30 --------- d-----w C:\Program Files\K-Lite Codec Pack

2008-02-28 04:29 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Real

2008-02-28 04:25 74,908 ----a-w C:\WINDOWS\system32\drivers\klick.dat

2008-02-28 04:25 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat

2008-02-28 02:19 --------- d-----w C:\Documents and Settings\СЕРВЕР\Application Data\Identities

2008-02-27 23:05 --------- d-----w C:\Program Files\XP Tweaker

2008-02-25 10:01 --------- d-----w C:\Documents and Settings\Администратор\Application Data\ABBYY

2008-02-25 09:40 --------- d-----w C:\Program Files\Russobit-M

2008-02-19 04:13 --------- d-----w C:\Program Files\Magic Ball

2008-02-19 04:13 --------- d-----w C:\Program Files\DiscCleaner

2008-02-05 00:50 --------- d-----w C:\Program Files\Raxco

2008-02-05 00:50 --------- d-----w C:\Program Files\Common Files\Raxco

2008-01-21 15:08 8,655,984 ----a-w C:\cureit.exe

2007-08-27 00:49 306,928 ----a-w C:\Documents and Settings\Администратор\Application Data\GDIPFONTCACHEV1.DAT

2006-05-14 09:34 306,928 ----a-w C:\Documents and Settings\server\Application Data\GDIPFONTCACHEV1.DAT

2006-03-16 05:09 2,492 ----a-w C:\Documents and Settings\server\Application Data\ViewerApp.dat

2004-10-20 10:35 1,835,008 ---ha-w C:\Documents and Settings\Созвездие\NTUSER.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-18 03:04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CAPON"="C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE" [2001-02-15 03:00 22528]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-18 03:04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

R2 RapidPort;RapidPort;C:\WINDOWS\system32\Drivers\CAPLPTN.SYS [2001-02-05 18:00]

S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys [2006-05-09 02:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26f9af3b-e977-11dc-bd4d-ff52ba53cb45}]

\Shell\Auto\command - E:\sal.xls.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sal.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32ed37a3-f569-11dc-bd68-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b355f1b-f632-11dc-bd6b-000244686eb1}]

\Shell\AutoRun\command - x6.bat

\Shell\explore\Command - x6.bat

\Shell\open\Command - x6.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b82cd890-f475-11dc-bd63-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb130-f94f-11dc-bd70-000244686eb1}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c48bb144-f94f-11dc-bd70-000244686eb1}]

\Shell\AutoRun\command - oufddh.exe

\Shell\explore\Command - oufddh.exe

\Shell\open\Command - oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c900fbfb-f3d4-11dc-bd62-000244686eb1}]

\Shell\AutoRun\command - wscript.exe .\.vbs

\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed8616f6-ea3f-11dc-bd50-886d7ead1845}]

\Shell\AutoRun\command - E:\oufddh.exe

\Shell\explore\Command - E:\oufddh.exe

\Shell\open\Command - E:\oufddh.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-03 09:15:53

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-04-03 9:24:46

ComboFix-quarantined-files.txt 2008-04-02 22:24:39

21 папок 7,428,087,808 байт свободно

26 папок 7,418,368,000 байт свободно

Hijackthis log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9:38:36, on 03.04.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\WINDOWS\system32\CAPRPCSK.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\СЕРВЕР\Рабочий стол\Новая(2)\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min