Просмотр полной версии : Не удаляется руткит
NikolayFirsov
22.01.2008, 10:03
Не удаляется файл c:\system\svchоst.exe
нету доступа к папке c:\system
др.вэб ничего не видит, KIS 7.0.1.321 обнаруживает процесс и выгружает его, и обнаруживает папку c:\system но не может получить доступ либо удалить её.
Помогите решить проблемму
Заранее спасибо
Отключить восстановление системы.
Выполнить скрипт в AVZ:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\Drivers\agxkr7 vf.SYS','');
QuarantineFile('c:\system\svchоst.exe','');
DeleteFile('c:\system\svchоst.exe');
BC_DeleteFile('c:\system\svchоst.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Карантин прислать согласно приложению 3 правил (http://virusinfo.info/showthread.php?t=1235).
Ваших ли это рук дело?
O17 - HKLM\System\CCS\Services\Tcpip\..\{96514A51-8D90-4163-AF82-C424B489F7CA}: NameServer = 87.236.40.248,87.236.40.249
Если нет - пофиксить в HiJackThis.
Вместо лога virusinfo_syscure.zip Вы прислали карантин.
Обязательно выполните третий стандартный скрипт.
NikolayFirsov
22.01.2008, 17:45
1. Сделал
2. Сделал
3. Прислал, но видимо там ничего нету
4. моих дело рук
третий стандартный скрипт не выполняется, т.е он выполняется но автоматически не сохраняется.
У меня подозрение на файл secdir.sys и ещё утилита gmer обнаруживает автозапуск в папке %userprofile%\Главное меню\Программы\Автозагрузка\hide.bat
а если смотреть через explorer то там ничего нету, пробывал создать hide.bat несоздаётся, пишет что нету доступа, и нельзя удалить папку c:\system тоже отказано в доступе
немогу прикрепить логи к письму
лог avz
Ошибка в работе антируткита [Access violation at address 0040517F in module 'avz.exe'. Read of address 63726570], шаг [9]
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\System32\Drivers\agxkr7vf.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\System32\Drivers\agxkr7vf.SYS)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\system\svchоst.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (c:\system\svchоst.exe)
Карантин с использованием прямого чтения - ошибка
Удаление файла:c:\system\svchоst.exe
>>>Для удаления файла c:\system\svchоst.exe необходима перезагрузка
Автоматическая чистка следов удаленных в ходе лечения программ
лог gmer.exe
GMER 1.0.12.12011 - http://www.gmer.net (http://www.gmer.net/)
Autostart scan 2008-01-22 17:15:32
Windows 5.1.2600 Service Pack 2
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@BootExecute = autocheck autochk * /*file not found*/
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline = %SystemRoot%\system32\ntvdm.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon >>>
@UserinitD:\WINDOWS\system32\userinit.exe, = D:\WINDOWS\system32\userinit.exe,
@ShellExplorer.exe = Explorer.exe
@System =
@UIHostlogonui.exe = logonui.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
crypt32chain@DLLName = crypt32.dll
cryptnet@DLLName = cryptnet.dll
cscdll@DLLName = cscdll.dll
klogon@DLLName = D:\WINDOWS\system32\klogon.dll
ScCertProp@DLLName = wlnotify.dll
Schedule@DLLName = wlnotify.dll
sclgntfy@DLLName = sclgntfy.dll
SensLogn@DLLName = WlNotify.dll
termsrv@DLLName = wlnotify.dll
wlballoon@DLLName = wlnotify.dll
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs =
HKLM\SYSTEM\CurrentControlSet\Services\ >>>
AudioSrv /*Windows Audio*/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
CryptSvc /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
DcomLaunch /**/@ = %SystemRoot%\system32\svchost -k DcomLaunch
Dhcp /*DHCP-*/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
dmserver /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
Dnscache /*DNS-*/@ = %SystemRoot%\system32\svchost.exe -k NetworkService
Eventlog /**/@ = %SystemRoot%\system32\services.exe
lanmanserver /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
lanmanworkstation /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
PFNet /*Privacyware network service*/@ = D:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe /*file not found*/
PlugPlay /*Plug and Play*/@ = %SystemRoot%\system32\services.exe
ProtectedStorage /**/@ = %SystemRoot%\system32\lsass.exe
RpcSs /**/@ = %SystemRoot%\system32\svchost -k rpcss
r_server /*Remote Administrator Service*/@ = "D:\WINDOWS\system32\r_server.exe" /service
SamSs /**/@ = %SystemRoot%\system32\lsass.exe
seclogon /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
ShellHWDetection /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
WebClient /**/@ = %SystemRoot%\system32\svchost.exe -k LocalService
winmgmt /**/@ = %systemroot%\system32\svchost.exe -k netsvcs
HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@KernelFaultCheck%systemroot%\system32\dumprep 0 -k = %systemroot%\system32\dumprep 0 -k
@UnlockerAssistant"D:\Program Files\Unlocker\UnlockerAssistant.exe" = "D:\Program Files\Unlocker\UnlockerAssistant.exe"
@NeroFilterCheckD:\WINDOWS\system32\NeroCheck.exe = D:\WINDOWS\system32\NeroCheck.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run @Punto Switcher = D:\Program Files\Punto Switcher\ps.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad >>>
@PostBootReminder%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
@CDBurn%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
@WebCheck%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@SysTrayD:\WINDOWS\system32\stobject.dll = D:\WINDOWS\system32\stobject.dll
@WPDShServiceObjD:\WINDOWS\system32\WPDShServiceOb j.dll = D:\WINDOWS\system32\WPDShServiceObj.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskScheduler >>>
@{438755C2-A8BA-11D1-B96B-00A0C90312E1}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{8C7461EF-2B13-11d2-BE35-3078302C2030}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
HKLM\Software\Classes\Folder\shell\open\command@ = %SystemRoot%\Explorer.exe /idlist,%I,%L
HKLM\Software\Classes\Folder\shell\explore\command @ = %SystemRoot%\Explorer.exe /e,/idlist,%I,%L
HKLM\Software\Classes\ >>>
.exe@ = "%1" %*
.com@ = "%1" %*
.cmd@ = "%1" %*
.bat@ = "%1" %*
.pif@ = "%1" %*
.scr@ = "%1" /S
.hta@ = D:\WINDOWS\system32\mshta.exe "%1" %*
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks@{AEB6717E-7E19-11d0-97EE-00C04FD91972} = shell32.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved >>>
@{00022613-0000-0000-C000-000000000046} /**/mmsys.cpl = mmsys.cpl
@{176d6597-26d3-11d1-b350-080036a75b03} /**/icmui.dll = icmui.dll
@{1F2E5C40-9550-11CE-99D2-00AA006E086C} /**/rshx32.dll = rshx32.dll
@{3EA48300-8CF6-101B-84FB-666CCB9BCD32} /**/docprop.dll = docprop.dll
@{40dd6e20-7c17-11ce-a804-00aa003ca9f6} /**/ntshrui.dll = ntshrui.dll
@{41E300E0-78B6-11ce-849B-444553540000} /*PlusPack CPL Extension*/%SystemRoot%\system32\themeui.dll = %SystemRoot%\system32\themeui.dll
@{42071712-76d4-11d1-8b24-00a0c9068ff3} /**/deskadp.dll = deskadp.dll
@{42071713-76d4-11d1-8b24-00a0c9068ff3} /**/deskmon.dll = deskmon.dll
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /**/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
@{4E40F770-369C-11d0-8922-00A024AB2DBB} /**/dssec.dll = dssec.dll
@{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} /**/SlayerXP.dll = SlayerXP.dll
@{56117100-C0CD-101B-81E2-00AA004AE837} /**/shscrap.dll = shscrap.dll
@{59099400-57FF-11CE-BD94-0020AF85B590} /**/diskcopy.dll = diskcopy.dll
@{59be4990-f85c-11ce-aff7-00aa003ca9f6} /**/ntlanui2.dll = ntlanui2.dll
@{5DB2625A-54DF-11D0-B6C4-0800091AA605} /**/%SystemRoot%\System32\icmui.dll = %SystemRoot%\System32\icmui.dll
@{675F097E-4C4D-11D0-B6C1-0800091AA605} /**/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
@{764BF0E1-F219-11ce-972D-00AA00A14F56} /**/(null) =
@{77597368-7b15-11d0-a0c2-080036af3f03} /**/printui.dll = printui.dll
@{7988B573-EC89-11cf-9C00-00AA00A14F56} /*Disk Quota UI*/dskquoui.dll = dskquoui.dll
@{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} /**/(null) =
@{85BBD920-42A0-1069-A2E4-08002B30309D} /**/syncui.dll = syncui.dll
@{88895560-9AA2-1069-930E-00AA0030EBC8} /**/D:\WINDOWS\system32\hticons.dll = D:\WINDOWS\system32\hticons.dll
@{BD84B380-8CA2-1069-AB1D-08000948F534} /*Fonts*/fontext.dll = fontext.dll
@{DBCE2480-C732-101B-BE72-BA78E9AD5B27} /**/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
@{F37C5810-4D3F-11d0-B4BF-00AA00BBB723} /**/rshx32.dll = rshx32.dll
@{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} /**/ntshrui.dll = ntshrui.dll
@{f92e8c40-3d33-11d2-b1aa-080036a75b03} /*Display TroubleShoot CPL Extension*/deskperf.dll = deskperf.dll
@{7444C717-39BF-11D1-8CD9-00C04FC29D45} /**/D:\WINDOWS\system32\cryptext.dll = D:\WINDOWS\system32\cryptext.dll
@{7444C719-39BF-11D1-8CD9-00C04FC29D45} /**/D:\WINDOWS\system32\cryptext.dll = D:\WINDOWS\system32\cryptext.dll
@{7007ACC7-3202-11D1-AAD2-00805FC1270E} /**/D:\WINDOWS\system32\NETSHELL.dll = D:\WINDOWS\system32\NETSHELL.dll
@{992CFFA0-F557-101A-88EC-00DD010CCC48} /**/D:\WINDOWS\system32\NETSHELL.dll = D:\WINDOWS\system32\NETSHELL.dll
@{E211B736-43FD-11D1-9EFB-0000F8757FCD} /*&*/wiashext.dll = wiashext.dll
@{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD} /*&*/wiashext.dll = wiashext.dll
@{905667aa-acd6-11d2-8080-00805f6596d2} /*&*/wiashext.dll = wiashext.dll
@{3F953603-1008-4f6e-A73A-04AAC7A992F1} /*&*/wiashext.dll = wiashext.dll
@{83bbcbf3-b28a-4919-a5aa-73027445d672} /*&*/wiashext.dll = wiashext.dll
@{F0152790-D56E-4445-850E-4F3117DB740C} /*Remote Sessions CPL Extension*/D:\WINDOWS\system32\remotepg.dll = D:\WINDOWS\system32\remotepg.dll
@{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/D:\Program Files\WinRAR\rarext.dll = D:\Program Files\WinRAR\rarext.dll
@{23170F69-40C1-278A-1000-000100020000} /*7-Zip Shell Extension*/D:\Program Files\7-Zip\7-zip.dll = D:\Program Files\7-Zip\7-zip.dll
@{60254CA5-953B-11CF-8C96-00AA00B8708C} /**/D:\WINDOWS\system32\wshext.dll = D:\WINDOWS\system32\wshext.dll
@{2206CDB2-19C1-11D1-89E0-00C04FD7A829} /**/D:\Program Files\Common Files\System\Ole DB\oledb32.dll = D:\Program Files\Common Files\System\Ole DB\oledb32.dll
@{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Icon Handler*/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
@{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Shell Extension*/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
@{D6277990-4C6A-11CF-8D87-00AA0060F5BF} /**/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
@{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0} /*Set Program Access and Defaults*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Auto Update Property Sheet Extension*/D:\WINDOWS\system32\wuaucpl.cpl = D:\WINDOWS\system32\wuaucpl.cpl
@{0DF44EAA-FF21-4412-828E-260A8728E7F1} /**/(null) =
@{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{D20EA4E1-3957-11d2-A40B-0C5020524152} /*Fonts*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{D20EA4E1-3957-11d2-A40B-0C5020524153} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /**/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /**/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
@{875CB1A1-0F29-45de-A1AE-CFB4950D0B78} /*Audio Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{40C3D757-D6E4-4b49-BB41-0E5BBEA28817} /*Video Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{E4B29F9D-D390-480b-92FD-7DDB47101D71} /*Wav Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{87D62D94-71B3-4b9a-9489-5FE6850DC73E} /*Avi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{A6FD9E45-6E44-43f9-8644-08598F5A74D9} /*Midi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{c5a40261-cd64-4ccf-84cb-c394da41d590} /*Video Thumbnail Extractor*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
@{5E6AB780-7743-11CF-A12B-00AA004AE837} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{22BF0C20-6DA7-11D0-B373-00A0C9034938} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{91EA3F8B-C99B-11d0-9815-00C04FD91972} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6413BA2C-B461-11d1-A18A-080036B11A03} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{F61FFEC1-754F-11d0-80CA-00AA005B4383} /*BandProxy*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7BA4C742-9E81-11CF-99D3-00AA004AE837} /*Microsoft BrowserBand*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{21569614-B795-46b1-85F4-E737A8DC09AD} /*Shell Search Band*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{169A0691-8DF9-11d1-A1C4-00C04FD75D13} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{AF4F6510-F982-11d0-8595-00AA004CD6D8} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{01E04581-4EEE-11d0-BFE9-00AA005B4383} /*&*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{A08C11D2-A228-11d0-825B-00AA005B4383} /*EditBox */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2763-6A77-11D0-A535-00C04FD7D062} /*Shell Microsoft AutoComplete*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6756A641-DE71-11d0-831B-00AA005B4383} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7e653215-fa25-46bd-a339-34a2790f3cb7} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{acf35015-526e-4230-9596-becbe19f0ac9} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2764-6A77-11D0-A535-00C04FD7D062} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{03C036F1-A186-11D0-824A-00AA005B4383} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{00BB2765-6A77-11D0-A535-00C04FD7D062} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4E-521C-11D0-B792-00A0C90312E1} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{3CCF8A41-5C85-11d0-9796-00AA00B90ADF} /*DeskBarApp */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4C-521C-11D0-B792-00A0C90312E1} /*DeskBar */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{ECD4FC4D-521C-11D0-B792-00A0C90312E1} /*Rebar BandSite */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{DD313E04-FEFF-11d1-8ECD-0000F87A470C} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{3028902F-6374-48b2-8DC6-9725E775B926} /*IE Microsoft AutoComplete*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{07798131-AF23-11d1-9111-00A0C98BA67D} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{7376D660-C583-11d0-A3A5-00C04FD706EC} /*TridentImageExtractor*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
@{EFA24E61-B078-11d0-89E4-00C04FC9E26E} /*Favorites Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{EFA24E62-B078-11d0-89E4-00C04FC9E26E} /*History Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{0A89A860-D7B1-11CE-8350-444553540000} /*Shell Automation Inproc Service*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{A5E46E3A-8849-11D1-9D8C-00C04FC99D61} /*Microsoft Browser Architecture*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{131A6951-7F78-11D0-A979-00C04FD705A2} /*ISFBand OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{9461b922-3c5a-11d2-bf8b-00c04fb93661} /*Search Assistant OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/shdocvw.dll = shdocvw.dll
@{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{FF393560-C2A7-11CF-BFF4-444553540000} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{67EA19A0-CCEF-11d0-8024-00C04FD75D13} /*CDF Extension Copy Hook*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{EFA24E64-B078-11d0-89E4-00C04FC9E26E} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
@{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/D:\WINDOWS\system32\sendmail.dll = D:\WINDOWS\system32\sendmail.dll
@{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/D:\WINDOWS\system32\sendmail.dll = D:\WINDOWS\system32\sendmail.dll
@{88C6C381-2E85-11D0-94DE-444553540000} /**/%SystemRoot%\system32\occache.dll = %SystemRoot%\system32\occache.dll
@{E6FB5E20-DE35-11CF-9C87-00AA005127ED} /*WebCheck*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} /*Subscription Mgr*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{F5175861-2688-11d0-9C5E-00AA00A45957} /**/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{08165EA0-E946-11CF-9C87-00AA005127ED} /*WebCheckWebCrawler*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB} /*WebCheckChannelAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7} /*TrayAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{7D559C10-9FE9-11d0-93F7-00AA0059CE02} /*Code Download Agent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{E6CC6978-6B6E-11D0-BECA-00C04FD940BE} /*ConnectionAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{D8BD2030-6FC9-11D0-864F-00AA006809D9} /*PostAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} /*WebCheck SyncMgr Handler*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
@{352EC2B7-8B9A-11D1-B8AE-006008059382} /**/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{0B124F8F-91F0-11D1-B8B5-006008059382} /**/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{CFCCC7A0-A282-11D1-9082-006008059382} /*Darwin App Publisher*/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
@{e84fda7c-1d6a-45f6-b725-cb260c236066} /*Shell Image Verbs*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178} /*Shell Image Data Factory*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{3F30C968-480A-4C6C-862D-EFC0897BB84B} /*GDI+ */D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
@{9DBD2C50-62AD-11d0-B806-00C04FD706EC} /**/D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
@{EAB841A0-9550-11cf-8C16-00805F1408F3} /**/D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
@{eb9b1153-3b57-4e68-959a-a3266bc3d7fe} /*Shell Image Property Handler*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
@{CC6EEFFB-43F6-46c5-9619-51D571967F7D} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{add36aa8-751a-4579-a266-d66f5202ccbb} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{6b33163c-76a5-4b6c-bf21-45de9cd503a1} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{58f1f272-9240-4f51-b6d4-fd63d1618591} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
@{7A9D77BD-5403-11d2-8785-2E0420524153} /**/(null) =
@{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} /**/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{BD472F60-27FA-11cf-B8B4-444553540000} /*Compressed (zipped) Folder Right Drag Handler*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} /*Compressed (zipped) Folder SendTo Target*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
@{f39a0dc0-9cc8-11d0-a599-00c04fd64433} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
@{f3aa0dc0-9cc8-11d0-a599-00c04fd64434} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
@{f3ba0dc0-9cc8-11d0-a599-00c04fd64435} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
@{f3da0dc0-9cc8-11d0-a599-00c04fd64437} /*Channel Menu*/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
@{f3ea0dc0-9cc8-11d0-a599-00c04fd64438} /*Channel Properties*/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
@{63da6ec0-2e98-11cf-8d82-444553540000} /*FTP Folders Webview*/D:\WINDOWS\system32\msieftp.dll = D:\WINDOWS\system32\msieftp.dll
@{883373C3-BF89-11D1-BE35-080036B11A03} /*Microsoft DocProp Shell Ext*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{A9CF0EAE-901A-4739-A481-E35B73E47F6D} /*Microsoft DocProp Inplace Edit Box Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{8EE97210-FD1F-4B19-91DA-67914005F020} /*Microsoft DocProp Inplace ML Edit Box Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{0EEA25CC-4362-4A12-850B-86EE61B0D3EB} /*Microsoft DocProp Inplace Droplist Combo Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{6A205B57-2567-4A2C-B881-F787FAB579A3} /*Microsoft DocProp Inplace Calendar Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33} /*Microsoft DocProp Inplace Time Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
@{8A23E65E-31C2-11d0-891C-00A024AB2DBB} /*Directory Query UI*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{163FDC20-2ABC-11d0-88F0-00A024AB2DBB} /*Directory Object Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{F020E586-5264-11d1-A532-0000F8757D7E} /*Directory Start/Search Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
@{0D45D530-764B-11d0-A1CA-00AA00C16E65} /*Directory Property UI*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
@{62AE1F9A-126A-11D0-A14B-0800361B1103} /*Directory Context Menu Verbs*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
@{ECF03A33-103D-11d2-854D-006008059367} /*MyDocs Copy Hook*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{ECF03A32-103D-11d2-854D-006008059367} /*MyDocs Drop Target*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{4a7ded0a-ad25-11d0-98a8-0800361b1103} /*MyDocs Properties*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
@{750fdf0e-2a26-11d1-a3ea-080036587f03} /*Offline Files Menu*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{10CFC467-4392-11d2-8DB4-00C04FA31A66} /*Offline Files Folder Options*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E} /**/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
@{143A62C8-C33B-11D1-84FE-00C04FA34A14} /*Microsoft Agent Character Property Sheet Handler*/D:\WINDOWS\msagent\agentpsh.dll = D:\WINDOWS\msagent\agentpsh.dll
@{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6} /*DfsShell*/D:\WINDOWS\system32\dfsshlex.dll = D:\WINDOWS\system32\dfsshlex.dll
@{60fd46de-f830-4894-a628-6fa81bc0190d} /*%DESC_PublishDropTarget%*/%SystemRoot%\system32\photowiz.dll = %SystemRoot%\system32\photowiz.dll
@{7A80E4A8-8005-11D2-BCF8-00C04F72C717} /*MMC Icon Handler*/%SystemRoot%\System32\mmcshext.dll = %SystemRoot%\System32\mmcshext.dll
@{0CD7A5C0-9F37-11CE-AE65-08002B2E1262} /*.CAB file viewer*/cabview.dll = cabview.dll
@{32714800-2E5F-11d0-8B85-00AA0044F941} /*&*/D:\Program Files\Outlook Express\wabfind.dll = D:\Program Files\Outlook Express\wabfind.dll
@{8DD448E6-C188-4aed-AF92-44956194EB1F} /*Windows Media Player Burn Audio CD Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
@{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} /*Windows Media Player Play as Playlist Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
@{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} /*Windows Media Player Add to Playlist Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
@{1D2680C9-0E2A-469d-B787-065558BC7D43} /*Fusion Cache*/D:\WINDOWS\system32\mscoree.dll = D:\WINDOWS\system32\mscoree.dll
@{640167b4-59b0-47a6-b335-a6b3c0695aea} /*Portable Media Devices*/%SystemRoot%\system32\Audiodev.dll = %SystemRoot%\system32\Audiodev.dll
@{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/D:\WINDOWS\system32\dfshim.dll = D:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/D:\WINDOWS\system32\dfshim.dll = D:\WINDOWS\system32\dfshim.dll
@{45670FA8-ED97-4F44-BC93-305082590BFB} /*Microsoft.XPS.Shell.Metadata.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
@{44121072-A222-48f2-A58A-6D9AD51EBBE9} /*Microsoft.XPS.Shell.Thumbnail.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
@{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Web Folders*/D:\Program Files\Common Files\Microsoft Shared\Web Folders\msonsext.dll = D:\Program Files\Common Files\Microsoft Shared\Web Folders\msonsext.dll
@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/D:\Program Files\Unlocker\UnlockerCOM.dll = D:\Program Files\Unlocker\UnlockerCOM.dll
HKLM\Software\Classes\*\shellex\ContextMenuHandler s\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = D:\Program Files\7-Zip\7-zip.dll
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
Open With@{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
Open With EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
HKLM\Software\Classes\*\shellex\ContextMenuHandler s@{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = %SystemRoot%\system32\SHELL32.dll
HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\ >>>
7-Zip@{23170F69-40C1-278A-1000-000100020000} = D:\Program Files\7-Zip\7-zip.dll
EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
Sharing@{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\ >>>
Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
UnlockerShellExtension@{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} = D:\Program Files\Unlocker\UnlockerCOM.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects@{9961627E-4059-41B4-8E0E-A7D6B3854ADF} = D:\PROGRA~1\DOWNLO~1\dmiehlp.dll
HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm
HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pageabout:blank = about:blank
@Local PageD:\WINDOWS\system32\blank.htm = D:\WINDOWS\system32\blank.htm
HKLM\Software\Classes\PROTOCOLS\Filter\ >>>
application/octet-stream@CLSID = mscoree.dll
application/x-complus@CLSID = mscoree.dll
application/x-msdownload@CLSID = mscoree.dll
Class Install Handler@CLSID = D:\WINDOWS\system32\urlmon.dll
deflate@CLSID = D:\WINDOWS\system32\urlmon.dll
gzip@CLSID = D:\WINDOWS\system32\urlmon.dll
lzdhtml@CLSID = D:\WINDOWS\system32\urlmon.dll
text/webviewhtml@CLSID = %SystemRoot%\system32\SHELL32.dll
HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
about@CLSID = %SystemRoot%\system32\mshtml.dll
cdl@CLSID = D:\WINDOWS\system32\urlmon.dll
dvd@CLSID = D:\WINDOWS\system32\msvidctl.dll
file@CLSID = D:\WINDOWS\system32\urlmon.dll
ftp@CLSID = D:\WINDOWS\system32\urlmon.dll
gopher@CLSID = D:\WINDOWS\system32\urlmon.dll
http@CLSID = D:\WINDOWS\system32\urlmon.dll
https@CLSID = D:\WINDOWS\system32\urlmon.dll
its@CLSID = D:\WINDOWS\system32\itss.dll
javascript@CLSID = %SystemRoot%\system32\mshtml.dll
local@CLSID = D:\WINDOWS\system32\urlmon.dll
mailto@CLSID = %SystemRoot%\system32\mshtml.dll
mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
mk@CLSID = D:\WINDOWS\system32\urlmon.dll
ms-its@CLSID = D:\WINDOWS\system32\itss.dll
res@CLSID = %SystemRoot%\system32\mshtml.dll
sysimage@CLSID = %SystemRoot%\system32\mshtml.dll
tv@CLSID = D:\WINDOWS\system32\msvidctl.dll
vbscript@CLSID = %SystemRoot%\system32\mshtml.dll
wia@CLSID = D:\WINDOWS\system32\wiascr.dll
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters@Domain =
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Param eters\Interfaces\{96514A51-8D90-4163-AF82-C424B489F7CA} /**/ >>>
@IPAddress10.10.11.26 = 10.10.11.26
@NameServer87.236.40.248,87.236.40.249 = 87.236.40.248,87.236.40.249
@DefaultGateway10.10.11.1 = 10.10.11.1
@Domain =
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ >>>
000000000001@LibraryPath = %SystemRoot%\System32\mswsock.dll
000000000002@LibraryPath = %SystemRoot%\System32\winrnr.dll
000000000003@LibraryPath = %SystemRoot%\System32\mswsock.dll
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ >>>
000000000001@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000002@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000003@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000004@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
000000000005@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
000000000006@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000007@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000008@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000009@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000010@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000011@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000012@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000013@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
000000000014@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\0000000 00015@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
D:\Documents and Settings\Nikolay\ = hide.bat
---- EOF - GMER 1.0.12 ----
hide.bat поищи через AVZ, м.б. и найдется.
NikolayFirsov
22.01.2008, 20:59
Файл сохранён как 080122_115822_virus_47962ebed6597.zip
Размер файла 595
MD5 c4a060c69492e138f4e464d47cda5749
в hide.bat написано следующее
c:\system\svchоst.exe
sc start secdir
NikolayFirsov
23.01.2008, 11:00
Немогу прикрепить к файлу возникает ошибка, поэтому выкладываю сюда.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:55, on 23.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Unlocker\UnlockerAssistant.exe
D:\Program Files\Punto Switcher\ps.exe
D:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\SOFT\!!!ЗАЩИТА!!!\ANTIVIRUS!!!\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe
O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'Default user')
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm
O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe (file missing)
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F559A3B-1AAC-4868-A642-40EC2162F9F7}: NameServer = 87.236.40.248 87.236.40.249
O17 - HKLM\System\CCS\Services\Tcpip\..\{96514A51-8D90-4163-AF82-C424B489F7CA}: NameServer = 87.236.40.248,87.236.40.249
O17 - HKLM\System\CS1\Services\Tcpip\..\{1F559A3B-1AAC-4868-A642-40EC2162F9F7}: NameServer = 87.236.40.248 87.236.40.249
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
O23 - Service: Privacyware network service (PFNet) - Unknown owner - D:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - D:\WINDOWS\system32\r_server.exe (file missing)
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 4108 bytes
Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 23.01.2008 14:16:19
Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 66967
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCD4C->7E4001D0
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082880)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
SDT = 80882880
KiST = 8080B6A8 (284)
Функция NtClose (19) перехвачена (8088FF49->F803D300), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtConnectPort (1F) перехвачена (808B4738->F803B3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateKey (29) перехвачена (808979A9->F802E7F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcess (2F) перехвачена (808D9199->F803D030), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateProcessEx (30) перехвачена (808AB016->F803D1A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSection (32) перехвачена (8088D81B->F803DE00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateSymbolicLinkObject (34) перехвачена (808C934A->F803D8D0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtCreateThread (35) перехвачена (808A537E->F803E740), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteKey (3F) перехвачена (808BDD25->F802E8F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDeleteValueKey (41) перехвачена (808BC6FB->F802E970), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtDuplicateObject (44) перехвачена (8089D006->F803D4A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateKey (47) перехвачена (808980B0->F802EA00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtEnumerateValueKey (49) перехвачена (808A7BEF->F802EAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtFlushKey (4F) перехвачена (808C6370->F802EB60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtInitializeRegistry (5C) перехвачена (808CFDBB->F802EBE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadDriver (61) перехвачена (808CC000->F803AF60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey (62) перехвачена (808D6B7C->F802F5E0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtLoadKey2 (63) перехвачена (808D69CA->F802EC00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtNotifyChangeKey (6F) перехвачена (808B8E26->F802ECD0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenFile (74) перехвачена (8089A073->F973D020), перехватчик D:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80890EFB->F802EDB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenProcess (7A) перехвачена (8089D1E6->F803CE20), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtOpenSection (7D) перехвачена (808A15EF->F803DC30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryKey (A0) перехвачена (80897DB9->F802EE80), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryMultipleValueKey (A1) перехвачена (809760DC->F802EF30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQuerySystemInformation (AD) перехвачена (808A6666->F803E3F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtQueryValueKey (B1) перехвачена (80894303->F802EFE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtReplaceKey (C1) перехвачена (80976A16->F802F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtRequestWaitReplyPort (C8) перехвачена (808A00DF->F803B990), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtRestoreKey (CC) перехвачена (80975534->F802F120), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtResumeThread (CE) перехвачена (808A59F1->F803E6F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSaveKey (CF) перехвачена (809755DB->F802F320), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetContextThread (D5) перехвачена (809558FF->F803EA70), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationFile (E0) перехвачена (808A22F1->F803F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetInformationKey (E2) перехвачена (80975C3F->F802F3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSecurityObject (ED) перехвачена (808C411F->F8039B00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetSystemInformation (F0) перехвачена (808CF934->F803DAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSetValueKey (F7) перехвачена (8089E16D->F802F450), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSuspendThread (FE) перехвачена (80908C3D->F803E6A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtSystemDebugControl (FF) перехвачена (80971893->F803B270), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtTerminateProcess (101) перехвачена (808AD781->F803E290), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtUnloadKey (107) перехвачена (8097580D->F802F5A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция NtWriteVirtualMemory (115) перехвачена (808A8055->F803D360), перехватчик D:\WINDOWS\system32\drivers\klif.sys
Функция FsRtlCheckLockForReadAccess (8082C289) - модификация машинного кода. Метод JmpTo. jmp F803F4B0 \??\D:\WINDOWS\system32\drivers\klif.sys
Функция IoIsOperationSynchronous (8081175A) - модификация машинного кода. Метод JmpTo. jmp F803F9B0 \??\D:\WINDOWS\system32\drivers\klif.sys
Проверено функций: 284, перехвачено: 43, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 14
Количество загруженных модулей: 201
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь
2. Передает данные процессу: 1408 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 215, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 23.01.2008 14:17:18
Сканирование длилось 00:01:00
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info (http://virusinfo.info/)
Выполняется исследование системы
Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.29
Сканирование запущено в 23.01.2008 14:27:58
Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
Загружены микропрограммы эвристики: 371
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 66967
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: Отключено
1. Поиск RootKit и программ, перехватывающих функции API
Ошибка в работе антируткита [Access violation at address 0040517F in module 'avz.exe'. Read of address 62696832], шаг [9]
2. Проверка памяти
Количество найденных процессов: 15
Количество загруженных модулей: 211
Проверка памяти завершена
3. Сканирование дисков
D:\Downloads\rk.zip/{ZIP}/Output/NTROOT.sys >>>>> Backdoor.Win32.NTRootKit.044
Прямое чтение D:\SOFT\от MS & SERVERS\cforce.exe
Прямое чтение D:\WINDOWS\system32\drivers\sptd.sys
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ:
Типичное для кейлоггеров поведение не зарегистрировано
D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь
2. Передает данные процессу: 1404 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
3. Выясняет, какое окно находится в фокусе ввода
4. Опрашивает состояние клавиш
5. Опрашивает состояние клавиатуры
6. Опрашивает активную раскладку клавиатуры
7. Определяет ASCII коды по кодам клавиш
D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 48890, извлечено из архивов: 36370, найдено вредоносных программ 1, подозрений - 0
Сканирование завершено в 23.01.2008 14:39:22
Сканирование длилось 00:11:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info (http://virusinfo.info/)
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
И всё же папка c:\system не удаляется, скорей всего перехватывает драйвер secdir.sys
Этот hide.bat можно спокойно удалять через AVZ. Запускалка вируса- оригинально.:)
NikolayFirsov
23.01.2008, 11:29
через авз не смог удалить
а через cmd.exe как-то легко удалился этот hide.bat
Теперь троян не будет запускаться при запуске виндовс
Но всё же меня смущает папка c:\system и файл c:\system\svchоst.exe
Никак немогу удалить KIS 7.0.1.321 пишет следующее
23.01.2008 15:22:03 Файл: C:\system обнаружено: новая угроза 'Hidden.Object' (модификация)
предложите ваши варианты
логи заархивируйте с каким-нибудь паролем и залейте на какой-нибудь slil.ru. Ссылку и пароль напишите в тему.
База поcледний раз обновлялась 12.12.2007
И обновите avz
NikolayFirsov
24.01.2008, 15:17
залил на http://slil.ru/25394264 файл logi.rar пароль logi
Добавлено через 1 час 1 минуту
помогите удалить c:\system и c:\system\svchоst.exe
логи avz не те, которые нужны - перечитайте правила
NikolayFirsov
25.01.2008, 09:05
сделал новые логи программой Kaspersky Virus Removel Tool 7.0.0.180 14.01.2008
и avz , третий пунтк авз не сохраняет логи, какой программой можно сделать третие логи?
вот архив avz_logs.rar на http://slil.ru/25397702 пароль к архиву 111
И я понял что папка c:\system неудаляется из-за загруженного драйвера в память secdir.sys
Как удалить службу secdir и как удалить драйвер?
то что вы прислали не годится ... лог не информативный ...
сделайте все по правилам ... иначе мы не сможем вам помочь ...
NikolayFirsov
25.01.2008, 11:56
прислал новые логи по правилам
virusinfo_cure.zip уберите и загрузите тут: http://virusinfo.info/upload_virus.php?tid=16778.
Отключите восстановление системы!
Выполните скрипт в AVZ:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\System32\Drivers\secdir .SYS','');
DeleteFile('D:\WINDOWS\System32\Drivers\secdir.SYS ');
BC_DeleteFile('D:\WINDOWS\System32\Drivers\secdir. SYS');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16778).
Сделайте новые логи, начиная с п.10 правил.
NikolayFirsov
26.01.2008, 07:53
Загрузил как
Файл сохранён как 080125_031801_virusinfo_cure_4799a9497f5a3.zip
Размер файла 448045
MD5 a35f96d77ed2b0d2735f09d0c93f1597
Отключил восстановление системы
Выполнил скрипт
Перезагрузился
Карантин пуст
Вот новые логи
выполните скрипт ....
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\system\secdir.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
NikolayFirsov
29.01.2008, 10:03
Выполнил скрипт..
Карантин пустой
Когда выполнялся скрипт там было написано что нету прав доступа в папку c:\system, даже небыло доступа при попытки прямого чтения, и даже после перезагрузке неудалился
как быть что делать дальше посоветуете
если нет прав ... дайте своей учетной записи полные права на папку D:\WINDOWS ...
NikolayFirsov
29.01.2008, 10:21
Сделал как вы сказали, потом перезагрузился выполнил скрипт и опять не помогло.
Какой то хитрый руткит попался
Может попробывать в авз Блокировать работу Rootkit в user-mode и kernel Mode?
Или может быть удалить службу secdir из реестра hklm\system\ccs\services с помощью скрипта авз
вообщем пожалуйста посоветуйте
я ошибся с названием папки C:\system\
NikolayFirsov
29.01.2008, 10:40
Через эксплорер никак, т.к невидно этой папки - скрытая
через cmd
cacls c:\system\secdir.sys /G Администратор:F
продолжить? Y
и пишет "Отказано в доступе"
cacls c:\system /G Администратор:F
Продолжить? Y
и пишет "Не удаётся найти указанный файл"
cacls c:\system
Продолжить? Y
и пишет "Не удаётся найти указанный файл"
Он (руткит) наверно перехватил какую то функцию...
выполните скрипт ...
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\system\secdir.sys');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи ...
CyberHelper
22.02.2009, 03:33
Статистика проведенного лечения:
Получено карантинов: 3
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot