Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Не удаляется руткит (заявка № 16778)

  1. #1
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0

    Exclamation Не удаляется руткит

    Не удаляется файл c:\system\svchоst.exe
    нету доступа к папке c:\system
    др.вэб ничего не видит, KIS 7.0.1.321 обнаруживает процесс и выгружает его, и обнаруживает папку c:\system но не может получить доступ либо удалить её.

    Помогите решить проблемму
    Заранее спасибо
    Вложения Вложения
    Последний раз редактировалось drongo; 22.01.2008 в 17:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация
    Регистрация
    15.10.2007
    Адрес
    Saint-Petersburg
    Сообщений
    79
    Вес репутации
    40
    1. Отключить восстановление системы.
    2. Выполнить скрипт в AVZ:
      Код:
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
       QuarantineFile('D:\WINDOWS\System32\Drivers\agxkr7vf.SYS','');
       QuarantineFile('c:\system\svchоst.exe','');
       DeleteFile('c:\system\svchоst.exe');
       BC_DeleteFile('c:\system\svchоst.exe');
      BC_ImportAll;
      ExecuteSysClean;
      BC_Activate;
      RebootWindows(true);
      end.
      Компьютер перезагрузится.
    3. Карантин прислать согласно приложению 3 правил.
    4. Ваших ли это рук дело?
      Код:
      O17 - HKLM\System\CCS\Services\Tcpip\..\{96514A51-8D90-4163-AF82-C424B489F7CA}: NameServer = 87.236.40.248,87.236.40.249
      Если нет - пофиксить в HiJackThis.


    Вместо лога virusinfo_syscure.zip Вы прислали карантин.
    Обязательно выполните третий стандартный скрипт.

  4. #3
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    1. Сделал
    2. Сделал
    3. Прислал, но видимо там ничего нету
    4. моих дело рук
    третий стандартный скрипт не выполняется, т.е он выполняется но автоматически не сохраняется.
    У меня подозрение на файл secdir.sys и ещё утилита gmer обнаруживает автозапуск в папке %userprofile%\Главное меню\Программы\Автозагрузка\hide.bat
    а если смотреть через explorer то там ничего нету, пробывал создать hide.bat несоздаётся, пишет что нету доступа, и нельзя удалить папку c:\system тоже отказано в доступе
    немогу прикрепить логи к письму

    лог avz
    Код:
    Ошибка в работе антируткита [Access violation at address 0040517F in module 'avz.exe'. Read of address 63726570], шаг [9]
    Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\System32\Drivers\agxkr7vf.SYS)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (D:\WINDOWS\System32\Drivers\agxkr7vf.SYS)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\system\svchоst.exe)
     Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла, попытка прямого чтения (c:\system\svchоst.exe)
     Карантин с использованием прямого чтения - ошибка
    Удаление файла:c:\system\svchоst.exe
    >>>Для удаления файла c:\system\svchоst.exe необходима перезагрузка
    Автоматическая чистка следов удаленных в ходе лечения программ
    лог gmer.exe
    Код:
    GMER 1.0.12.12011 - http://www.gmer.net
    Autostart scan 2008-01-22 17:15:32
    Windows 5.1.2600 Service Pack 2
    
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@BootExecute = autocheck autochk * /*file not found*/
    HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
    HKLM\SYSTEM\CurrentControlSet\Control\WOW@cmdline = %SystemRoot%\system32\ntvdm.exe
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon >>>
    @UserinitD:\WINDOWS\system32\userinit.exe, = D:\WINDOWS\system32\userinit.exe,
    @ShellExplorer.exe = Explorer.exe
    @System = 
    @UIHostlogonui.exe = logonui.exe
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
    crypt32chain@DLLName = crypt32.dll
    cryptnet@DLLName = cryptnet.dll
    cscdll@DLLName = cscdll.dll
    klogon@DLLName = D:\WINDOWS\system32\klogon.dll
    ScCertProp@DLLName = wlnotify.dll
    Schedule@DLLName = wlnotify.dll
    sclgntfy@DLLName = sclgntfy.dll
    SensLogn@DLLName = WlNotify.dll
    termsrv@DLLName = wlnotify.dll
    wlballoon@DLLName = wlnotify.dll
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs = 
    HKLM\SYSTEM\CurrentControlSet\Services\ >>>
    AudioSrv /*Windows Audio*/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
    CryptSvc /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
    DcomLaunch /**/@ = %SystemRoot%\system32\svchost -k DcomLaunch
    Dhcp /*DHCP-*/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
    dmserver /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
    Dnscache /*DNS-*/@ = %SystemRoot%\system32\svchost.exe -k NetworkService
    Eventlog /**/@ = %SystemRoot%\system32\services.exe
    lanmanserver /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
    lanmanworkstation /**/@ = %SystemRoot%\system32\svchost.exe -k netsvcs
    PFNet /*Privacyware network service*/@ = D:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe /*file not found*/
    PlugPlay /*Plug and Play*/@ = %SystemRoot%\system32\services.exe
    ProtectedStorage /**/@ = %SystemRoot%\system32\lsass.exe
    RpcSs /**/@ = %SystemRoot%\system32\svchost -k rpcss
    r_server /*Remote Administrator Service*/@ = "D:\WINDOWS\system32\r_server.exe" /service
    SamSs /**/@ = %SystemRoot%\system32\lsass.exe
    seclogon /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
    ShellHWDetection /**/@ = %SystemRoot%\System32\svchost.exe -k netsvcs
    WebClient /**/@ = %SystemRoot%\system32\svchost.exe -k LocalService
    winmgmt /**/@ = %systemroot%\system32\svchost.exe -k netsvcs
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
    @KernelFaultCheck%systemroot%\system32\dumprep 0 -k = %systemroot%\system32\dumprep 0 -k
    @UnlockerAssistant"D:\Program Files\Unlocker\UnlockerAssistant.exe" = "D:\Program Files\Unlocker\UnlockerAssistant.exe"
    @NeroFilterCheckD:\WINDOWS\system32\NeroCheck.exe = D:\WINDOWS\system32\NeroCheck.exe
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Punto Switcher = D:\Program Files\Punto Switcher\ps.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad >>>
    @PostBootReminder%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
    @CDBurn%SystemRoot%\system32\SHELL32.dll = %SystemRoot%\system32\SHELL32.dll
    @WebCheck%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @SysTrayD:\WINDOWS\system32\stobject.dll = D:\WINDOWS\system32\stobject.dll
    @WPDShServiceObjD:\WINDOWS\system32\WPDShServiceObj.dll = D:\WINDOWS\system32\WPDShServiceObj.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler >>>
    @{438755C2-A8BA-11D1-B96B-00A0C90312E1}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{8C7461EF-2B13-11d2-BE35-3078302C2030}%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    HKLM\Software\Classes\Folder\shell\open\command@ = %SystemRoot%\Explorer.exe /idlist,%I,%L
    HKLM\Software\Classes\Folder\shell\explore\command@ = %SystemRoot%\Explorer.exe /e,/idlist,%I,%L
    HKLM\Software\Classes\ >>>
    .exe@ = "%1" %*
    .com@ = "%1" %*
    .cmd@ = "%1" %*
    .bat@ = "%1" %*
    .pif@ = "%1" %*
    .scr@ = "%1" /S
    .hta@ = D:\WINDOWS\system32\mshta.exe "%1" %*
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks@{AEB6717E-7E19-11d0-97EE-00C04FD91972} = shell32.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
    @{00022613-0000-0000-C000-000000000046} /**/mmsys.cpl = mmsys.cpl
    @{176d6597-26d3-11d1-b350-080036a75b03} /**/icmui.dll = icmui.dll
    @{1F2E5C40-9550-11CE-99D2-00AA006E086C} /**/rshx32.dll = rshx32.dll
    @{3EA48300-8CF6-101B-84FB-666CCB9BCD32} /**/docprop.dll = docprop.dll
    @{40dd6e20-7c17-11ce-a804-00aa003ca9f6} /**/ntshrui.dll = ntshrui.dll
    @{41E300E0-78B6-11ce-849B-444553540000} /*PlusPack CPL Extension*/%SystemRoot%\system32\themeui.dll = %SystemRoot%\system32\themeui.dll
    @{42071712-76d4-11d1-8b24-00a0c9068ff3} /**/deskadp.dll = deskadp.dll
    @{42071713-76d4-11d1-8b24-00a0c9068ff3} /**/deskmon.dll = deskmon.dll
    @{42071714-76d4-11d1-8b24-00a0c9068ff3} /**/deskpan.dll /*file not found*/ = deskpan.dll /*file not found*/
    @{4E40F770-369C-11d0-8922-00A024AB2DBB} /**/dssec.dll = dssec.dll
    @{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} /**/SlayerXP.dll = SlayerXP.dll
    @{56117100-C0CD-101B-81E2-00AA004AE837} /**/shscrap.dll = shscrap.dll
    @{59099400-57FF-11CE-BD94-0020AF85B590} /**/diskcopy.dll = diskcopy.dll
    @{59be4990-f85c-11ce-aff7-00aa003ca9f6} /**/ntlanui2.dll = ntlanui2.dll
    @{5DB2625A-54DF-11D0-B6C4-0800091AA605} /**/%SystemRoot%\System32\icmui.dll = %SystemRoot%\System32\icmui.dll
    @{675F097E-4C4D-11D0-B6C1-0800091AA605} /**/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
    @{764BF0E1-F219-11ce-972D-00AA00A14F56} /**/(null) = 
    @{77597368-7b15-11d0-a0c2-080036af3f03} /**/printui.dll = printui.dll
    @{7988B573-EC89-11cf-9C00-00AA00A14F56} /*Disk Quota UI*/dskquoui.dll = dskquoui.dll
    @{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} /**/(null) = 
    @{85BBD920-42A0-1069-A2E4-08002B30309D} /**/syncui.dll = syncui.dll
    @{88895560-9AA2-1069-930E-00AA0030EBC8} /**/D:\WINDOWS\system32\hticons.dll = D:\WINDOWS\system32\hticons.dll
    @{BD84B380-8CA2-1069-AB1D-08000948F534} /*Fonts*/fontext.dll = fontext.dll
    @{DBCE2480-C732-101B-BE72-BA78E9AD5B27} /**/%SystemRoot%\system32\icmui.dll = %SystemRoot%\system32\icmui.dll
    @{F37C5810-4D3F-11d0-B4BF-00AA00BBB723} /**/rshx32.dll = rshx32.dll
    @{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} /**/ntshrui.dll = ntshrui.dll
    @{f92e8c40-3d33-11d2-b1aa-080036a75b03} /*Display TroubleShoot CPL Extension*/deskperf.dll = deskperf.dll
    @{7444C717-39BF-11D1-8CD9-00C04FC29D45} /**/D:\WINDOWS\system32\cryptext.dll = D:\WINDOWS\system32\cryptext.dll
    @{7444C719-39BF-11D1-8CD9-00C04FC29D45} /**/D:\WINDOWS\system32\cryptext.dll = D:\WINDOWS\system32\cryptext.dll
    @{7007ACC7-3202-11D1-AAD2-00805FC1270E} /**/D:\WINDOWS\system32\NETSHELL.dll = D:\WINDOWS\system32\NETSHELL.dll
    @{992CFFA0-F557-101A-88EC-00DD010CCC48} /**/D:\WINDOWS\system32\NETSHELL.dll = D:\WINDOWS\system32\NETSHELL.dll
    @{E211B736-43FD-11D1-9EFB-0000F8757FCD} /*&*/wiashext.dll = wiashext.dll
    @{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD} /*&*/wiashext.dll = wiashext.dll
    @{905667aa-acd6-11d2-8080-00805f6596d2} /*&*/wiashext.dll = wiashext.dll
    @{3F953603-1008-4f6e-A73A-04AAC7A992F1} /*&*/wiashext.dll = wiashext.dll
    @{83bbcbf3-b28a-4919-a5aa-73027445d672} /*&*/wiashext.dll = wiashext.dll
    @{F0152790-D56E-4445-850E-4F3117DB740C} /*Remote Sessions CPL Extension*/D:\WINDOWS\system32\remotepg.dll = D:\WINDOWS\system32\remotepg.dll
    @{B41DB860-8EE4-11D2-9906-E49FADC173CA} /*WinRAR shell extension*/D:\Program Files\WinRAR\rarext.dll = D:\Program Files\WinRAR\rarext.dll
    @{23170F69-40C1-278A-1000-000100020000} /*7-Zip Shell Extension*/D:\Program Files\7-Zip\7-zip.dll = D:\Program Files\7-Zip\7-zip.dll
    @{60254CA5-953B-11CF-8C96-00AA00B8708C} /**/D:\WINDOWS\system32\wshext.dll = D:\WINDOWS\system32\wshext.dll
    @{2206CDB2-19C1-11D1-89E0-00C04FD7A829} /**/D:\Program Files\Common Files\System\Ole DB\oledb32.dll = D:\Program Files\Common Files\System\Ole DB\oledb32.dll
    @{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Icon Handler*/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
    @{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF} /*Tasks Folder Shell Extension*/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
    @{D6277990-4C6A-11CF-8D87-00AA0060F5BF} /**/D:\WINDOWS\system32\mstask.dll = D:\WINDOWS\system32\mstask.dll
    @{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0} /*Set Program Access and Defaults*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{5F327514-6C5E-4d60-8F16-D07FA08A78ED} /*Auto Update Property Sheet Extension*/D:\WINDOWS\system32\wuaucpl.cpl = D:\WINDOWS\system32\wuaucpl.cpl
    @{0DF44EAA-FF21-4412-828E-260A8728E7F1} /**/(null) = 
    @{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{D20EA4E1-3957-11d2-A40B-0C5020524152} /*Fonts*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{D20EA4E1-3957-11d2-A40B-0C5020524153} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{596AB062-B4D2-4215-9F74-E9109B0A8153} /**/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
    @{9DB7A13C-F208-4981-8353-73CC61AE2783} /**/%SystemRoot%\system32\twext.dll = %SystemRoot%\system32\twext.dll
    @{875CB1A1-0F29-45de-A1AE-CFB4950D0B78} /*Audio Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{40C3D757-D6E4-4b49-BB41-0E5BBEA28817} /*Video Media Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{E4B29F9D-D390-480b-92FD-7DDB47101D71} /*Wav Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{87D62D94-71B3-4b9a-9489-5FE6850DC73E} /*Avi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{A6FD9E45-6E44-43f9-8644-08598F5A74D9} /*Midi Properties Handler*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{c5a40261-cd64-4ccf-84cb-c394da41d590} /*Video Thumbnail Extractor*/%SystemRoot%\system32\shmedia.dll = %SystemRoot%\system32\shmedia.dll
    @{5E6AB780-7743-11CF-A12B-00AA004AE837} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{22BF0C20-6DA7-11D0-B373-00A0C9034938} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{91EA3F8B-C99B-11d0-9815-00C04FD91972} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{6413BA2C-B461-11d1-A18A-080036B11A03} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{F61FFEC1-754F-11d0-80CA-00AA005B4383} /*BandProxy*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{7BA4C742-9E81-11CF-99D3-00AA004AE837} /*Microsoft BrowserBand*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{21569614-B795-46b1-85F4-E737A8DC09AD} /*Shell Search Band*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{169A0691-8DF9-11d1-A1C4-00C04FD75D13} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{AF4F6510-F982-11d0-8595-00AA004CD6D8} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{01E04581-4EEE-11d0-BFE9-00AA005B4383} /*&*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{A08C11D2-A228-11d0-825B-00AA005B4383} /*EditBox */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{00BB2763-6A77-11D0-A535-00C04FD7D062} /*Shell Microsoft AutoComplete*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{6756A641-DE71-11d0-831B-00AA005B4383} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{7e653215-fa25-46bd-a339-34a2790f3cb7} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{acf35015-526e-4230-9596-becbe19f0ac9} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{00BB2764-6A77-11D0-A535-00C04FD7D062} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{03C036F1-A186-11D0-824A-00AA005B4383} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{00BB2765-6A77-11D0-A535-00C04FD7D062} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{ECD4FC4E-521C-11D0-B792-00A0C90312E1} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{3CCF8A41-5C85-11d0-9796-00AA00B90ADF} /*DeskBarApp */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{ECD4FC4C-521C-11D0-B792-00A0C90312E1} /*DeskBar */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{ECD4FC4D-521C-11D0-B792-00A0C90312E1} /*Rebar BandSite */%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{DD313E04-FEFF-11d1-8ECD-0000F87A470C} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{30D02401-6A81-11d0-8274-00C04FD5AE38} /*IE Search Band*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{3028902F-6374-48b2-8DC6-9725E775B926} /*IE Microsoft AutoComplete*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{07798131-AF23-11d1-9111-00A0C98BA67D} /**/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{7376D660-C583-11d0-A3A5-00C04FD706EC} /*TridentImageExtractor*/%SystemRoot%\system32\browseui.dll = %SystemRoot%\system32\browseui.dll
    @{EFA24E61-B078-11d0-89E4-00C04FC9E26E} /*Favorites Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{EFA24E62-B078-11d0-89E4-00C04FC9E26E} /*History Band*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{0A89A860-D7B1-11CE-8350-444553540000} /*Shell Automation Inproc Service*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{A5E46E3A-8849-11D1-9D8C-00C04FC99D61} /*Microsoft Browser Architecture*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{131A6951-7F78-11D0-A979-00C04FD705A2} /*ISFBand OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{9461b922-3c5a-11d2-bf8b-00c04fb93661} /*Search Assistant OC*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} /*Shell DocObject Viewer*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{FBF23B40-E3F0-101B-8488-00AA003E56F8} /*InternetShortcut*/shdocvw.dll = shdocvw.dll
    @{3C374A40-BAE4-11CF-BF7D-00AA006946EE} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{FF393560-C2A7-11CF-BFF4-444553540000} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{7BD29E00-76C1-11CF-9DD0-00A0C9034933} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{7BD29E01-76C1-11CF-9DD0-00A0C9034933} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{CFBFAE00-17A6-11D0-99CB-00C04FD64497} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{67EA19A0-CCEF-11d0-8024-00C04FD75D13} /*CDF Extension Copy Hook*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{EFA24E64-B078-11d0-89E4-00C04FC9E26E} /**/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{871C5380-42A0-1069-A2EA-08002B30309D} /*Internet Name Space*/%SystemRoot%\system32\shdocvw.dll = %SystemRoot%\system32\shdocvw.dll
    @{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/D:\WINDOWS\system32\sendmail.dll = D:\WINDOWS\system32\sendmail.dll
    @{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE} /*Sendmail service*/D:\WINDOWS\system32\sendmail.dll = D:\WINDOWS\system32\sendmail.dll
    @{88C6C381-2E85-11D0-94DE-444553540000} /**/%SystemRoot%\system32\occache.dll = %SystemRoot%\system32\occache.dll
    @{E6FB5E20-DE35-11CF-9C87-00AA005127ED} /*WebCheck*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} /*Subscription Mgr*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{F5175861-2688-11d0-9C5E-00AA00A45957} /**/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{08165EA0-E946-11CF-9C87-00AA005127ED} /*WebCheckWebCrawler*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB} /*WebCheckChannelAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7} /*TrayAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{7D559C10-9FE9-11d0-93F7-00AA0059CE02} /*Code Download Agent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{E6CC6978-6B6E-11D0-BECA-00C04FD940BE} /*ConnectionAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{D8BD2030-6FC9-11D0-864F-00AA006809D9} /*PostAgent*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} /*WebCheck SyncMgr Handler*/%SystemRoot%\system32\webcheck.dll = %SystemRoot%\system32\webcheck.dll
    @{352EC2B7-8B9A-11D1-B8AE-006008059382} /**/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
    @{0B124F8F-91F0-11D1-B8B5-006008059382} /**/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
    @{CFCCC7A0-A282-11D1-9082-006008059382} /*Darwin App Publisher*/%SystemRoot%\system32\appwiz.cpl = %SystemRoot%\system32\appwiz.cpl
    @{e84fda7c-1d6a-45f6-b725-cb260c236066} /*Shell Image Verbs*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
    @{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178} /*Shell Image Data Factory*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
    @{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) = 
    @{3F30C968-480A-4C6C-862D-EFC0897BB84B} /*GDI+ */D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
    @{9DBD2C50-62AD-11d0-B806-00C04FD706EC} /**/D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
    @{EAB841A0-9550-11cf-8C16-00805F1408F3} /**/D:\WINDOWS\system32\shimgvw.dll = D:\WINDOWS\system32\shimgvw.dll
    @{eb9b1153-3b57-4e68-959a-a3266bc3d7fe} /*Shell Image Property Handler*/%SystemRoot%\system32\shimgvw.dll = %SystemRoot%\system32\shimgvw.dll
    @{CC6EEFFB-43F6-46c5-9619-51D571967F7D} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
    @{add36aa8-751a-4579-a266-d66f5202ccbb} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
    @{6b33163c-76a5-4b6c-bf21-45de9cd503a1} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
    @{58f1f272-9240-4f51-b6d4-fd63d1618591} /**/%SystemRoot%\system32\netplwiz.dll = %SystemRoot%\system32\netplwiz.dll
    @{7A9D77BD-5403-11d2-8785-2E0420524153} /**/(null) = 
    @{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31} /**/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
    @{BD472F60-27FA-11cf-B8B4-444553540000} /*Compressed (zipped) Folder Right Drag Handler*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
    @{888DCA60-FC0A-11CF-8F0F-00C04FD7D062} /*Compressed (zipped) Folder SendTo Target*/%SystemRoot%\system32\zipfldr.dll = %SystemRoot%\system32\zipfldr.dll
    @{f39a0dc0-9cc8-11d0-a599-00c04fd64433} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
    @{f3aa0dc0-9cc8-11d0-a599-00c04fd64434} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
    @{f3ba0dc0-9cc8-11d0-a599-00c04fd64435} /**/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
    @{f3da0dc0-9cc8-11d0-a599-00c04fd64437} /*Channel Menu*/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
    @{f3ea0dc0-9cc8-11d0-a599-00c04fd64438} /*Channel Properties*/%SystemRoot%\system32\cdfview.dll = %SystemRoot%\system32\cdfview.dll
    @{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/%SystemRoot%\system32\extmgr.dll = %SystemRoot%\system32\extmgr.dll
    @{63da6ec0-2e98-11cf-8d82-444553540000} /*FTP Folders Webview*/D:\WINDOWS\system32\msieftp.dll = D:\WINDOWS\system32\msieftp.dll
    @{883373C3-BF89-11D1-BE35-080036B11A03} /*Microsoft DocProp Shell Ext*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{A9CF0EAE-901A-4739-A481-E35B73E47F6D} /*Microsoft DocProp Inplace Edit Box Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{8EE97210-FD1F-4B19-91DA-67914005F020} /*Microsoft DocProp Inplace ML Edit Box Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{0EEA25CC-4362-4A12-850B-86EE61B0D3EB} /*Microsoft DocProp Inplace Droplist Combo Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{6A205B57-2567-4A2C-B881-F787FAB579A3} /*Microsoft DocProp Inplace Calendar Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33} /*Microsoft DocProp Inplace Time Control*/D:\WINDOWS\system32\docprop2.dll = D:\WINDOWS\system32\docprop2.dll
    @{8A23E65E-31C2-11d0-891C-00A024AB2DBB} /*Directory Query UI*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
    @{9E51E0D0-6E0F-11d2-9601-00C04FA31A86} /*Shell properties for a DS object*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
    @{163FDC20-2ABC-11d0-88F0-00A024AB2DBB} /*Directory Object Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
    @{F020E586-5264-11d1-A532-0000F8757D7E} /*Directory Start/Search Find*/%SystemRoot%\system32\dsquery.dll = %SystemRoot%\system32\dsquery.dll
    @{0D45D530-764B-11d0-A1CA-00AA00C16E65} /*Directory Property UI*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
    @{62AE1F9A-126A-11D0-A14B-0800361B1103} /*Directory Context Menu Verbs*/%SystemRoot%\system32\dsuiext.dll = %SystemRoot%\system32\dsuiext.dll
    @{ECF03A33-103D-11d2-854D-006008059367} /*MyDocs Copy Hook*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
    @{ECF03A32-103D-11d2-854D-006008059367} /*MyDocs Drop Target*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
    @{4a7ded0a-ad25-11d0-98a8-0800361b1103} /*MyDocs Properties*/%SystemRoot%\system32\mydocs.dll = %SystemRoot%\system32\mydocs.dll
    @{750fdf0e-2a26-11d1-a3ea-080036587f03} /*Offline Files Menu*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
    @{10CFC467-4392-11d2-8DB4-00C04FA31A66} /*Offline Files Folder Options*/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
    @{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E} /**/%SystemRoot%\System32\cscui.dll = %SystemRoot%\System32\cscui.dll
    @{143A62C8-C33B-11D1-84FE-00C04FA34A14} /*Microsoft Agent Character Property Sheet Handler*/D:\WINDOWS\msagent\agentpsh.dll = D:\WINDOWS\msagent\agentpsh.dll
    @{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6} /*DfsShell*/D:\WINDOWS\system32\dfsshlex.dll = D:\WINDOWS\system32\dfsshlex.dll
    @{60fd46de-f830-4894-a628-6fa81bc0190d} /*%DESC_PublishDropTarget%*/%SystemRoot%\system32\photowiz.dll = %SystemRoot%\system32\photowiz.dll
    @{7A80E4A8-8005-11D2-BCF8-00C04F72C717} /*MMC Icon Handler*/%SystemRoot%\System32\mmcshext.dll = %SystemRoot%\System32\mmcshext.dll
    @{0CD7A5C0-9F37-11CE-AE65-08002B2E1262} /*.CAB file viewer*/cabview.dll = cabview.dll
    @{32714800-2E5F-11d0-8B85-00AA0044F941} /*&*/D:\Program Files\Outlook Express\wabfind.dll = D:\Program Files\Outlook Express\wabfind.dll
    @{8DD448E6-C188-4aed-AF92-44956194EB1F} /*Windows Media Player Burn Audio CD Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
    @{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} /*Windows Media Player Play as Playlist Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
    @{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} /*Windows Media Player Add to Playlist Context Menu Handler*/D:\WINDOWS\system32\wmpshell.dll = D:\WINDOWS\system32\wmpshell.dll
    @{1D2680C9-0E2A-469d-B787-065558BC7D43} /*Fusion Cache*/D:\WINDOWS\system32\mscoree.dll = D:\WINDOWS\system32\mscoree.dll
    @{640167b4-59b0-47a6-b335-a6b3c0695aea} /*Portable Media Devices*/%SystemRoot%\system32\Audiodev.dll = %SystemRoot%\system32\Audiodev.dll
    @{35786D3C-B075-49b9-88DD-029876E11C01} /*Portable Devices*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
    @{D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} /*Portable Devices Menu*/%SystemRoot%\system32\wpdshext.dll = %SystemRoot%\system32\wpdshext.dll
    @{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/D:\WINDOWS\system32\dfshim.dll = D:\WINDOWS\system32\dfshim.dll
    @{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/D:\WINDOWS\system32\dfshim.dll = D:\WINDOWS\system32\dfshim.dll
    @{45670FA8-ED97-4F44-BC93-305082590BFB} /*Microsoft.XPS.Shell.Metadata.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
    @{44121072-A222-48f2-A58A-6D9AD51EBBE9} /*Microsoft.XPS.Shell.Thumbnail.1*/%SystemRoot%\System32\XPSSHHDR.DLL = %SystemRoot%\System32\XPSSHHDR.DLL
    @{BDEADF00-C265-11D0-BCED-00A0C90AB50F} /*Web Folders*/D:\Program Files\Common Files\Microsoft Shared\Web Folders\msonsext.dll = D:\Program Files\Common Files\Microsoft Shared\Web Folders\msonsext.dll
    @{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} /*UnlockerShellExtension*/D:\Program Files\Unlocker\UnlockerCOM.dll = D:\Program Files\Unlocker\UnlockerCOM.dll
    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
    7-Zip@{23170F69-40C1-278A-1000-000100020000} = D:\Program Files\7-Zip\7-zip.dll
    Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
    Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
    Open With@{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
    Open With EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
    WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
    HKLM\Software\Classes\*\shellex\ContextMenuHandlers@{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} = %SystemRoot%\system32\SHELL32.dll
    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
    7-Zip@{23170F69-40C1-278A-1000-000100020000} = D:\Program Files\7-Zip\7-zip.dll
    EncryptionMenu@{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
    Offline Files@{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
    Sharing@{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
    WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
    Kaspersky Anti-Virus@{dd230880-495a-11d1-b064-008048ec2fc5} = D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll
    UnlockerShellExtension@{DDE4BEEB-DDE...5-035C09923F83} = D:\Program Files\Unlocker\UnlockerCOM.dll
    WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Program Files\WinRAR\rarext.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects@{9961627E-4059-41B4-8E0E-A7D6B3854ADF} = D:\PROGRA~1\DOWNLO~1\dmiehlp.dll
    HKLM\Software\Microsoft\Internet Explorer\Main >>>
    @Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
    @Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
    @Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm
    HKCU\Software\Microsoft\Internet Explorer\Main >>>
    @Start Pageabout:blank = about:blank
    @Local PageD:\WINDOWS\system32\blank.htm = D:\WINDOWS\system32\blank.htm
    HKLM\Software\Classes\PROTOCOLS\Filter\ >>>
    application/octet-stream@CLSID = mscoree.dll
    application/x-complus@CLSID = mscoree.dll
    application/x-msdownload@CLSID = mscoree.dll
    Class Install Handler@CLSID = D:\WINDOWS\system32\urlmon.dll
    deflate@CLSID = D:\WINDOWS\system32\urlmon.dll
    gzip@CLSID = D:\WINDOWS\system32\urlmon.dll
    lzdhtml@CLSID = D:\WINDOWS\system32\urlmon.dll
    text/webviewhtml@CLSID = %SystemRoot%\system32\SHELL32.dll
    HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
    about@CLSID = %SystemRoot%\system32\mshtml.dll
    cdl@CLSID = D:\WINDOWS\system32\urlmon.dll
    dvd@CLSID = D:\WINDOWS\system32\msvidctl.dll
    file@CLSID = D:\WINDOWS\system32\urlmon.dll
    ftp@CLSID = D:\WINDOWS\system32\urlmon.dll
    gopher@CLSID = D:\WINDOWS\system32\urlmon.dll
    http@CLSID = D:\WINDOWS\system32\urlmon.dll
    https@CLSID = D:\WINDOWS\system32\urlmon.dll
    its@CLSID = D:\WINDOWS\system32\itss.dll
    javascript@CLSID = %SystemRoot%\system32\mshtml.dll
    local@CLSID = D:\WINDOWS\system32\urlmon.dll
    mailto@CLSID = %SystemRoot%\system32\mshtml.dll
    mhtml@CLSID = %SystemRoot%\system32\inetcomm.dll
    mk@CLSID = D:\WINDOWS\system32\urlmon.dll
    ms-its@CLSID = D:\WINDOWS\system32\itss.dll
    res@CLSID = %SystemRoot%\system32\mshtml.dll
    sysimage@CLSID = %SystemRoot%\system32\mshtml.dll
    tv@CLSID = D:\WINDOWS\system32\msvidctl.dll
    vbscript@CLSID = %SystemRoot%\system32\mshtml.dll
    wia@CLSID = D:\WINDOWS\system32\wiascr.dll
    HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@Domain = 
    HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{96514A51-8D90-4163-AF82-C424B489F7CA} /**/ >>>
    @IPAddress10.10.11.26 = 10.10.11.26
    @NameServer87.236.40.248,87.236.40.249 = 87.236.40.248,87.236.40.249
    @DefaultGateway10.10.11.1 = 10.10.11.1
    @Domain = 
    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ >>>
    000000000001@LibraryPath = %SystemRoot%\System32\mswsock.dll
    000000000002@LibraryPath = %SystemRoot%\System32\winrnr.dll
    000000000003@LibraryPath = %SystemRoot%\System32\mswsock.dll
    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\ >>>
    000000000001@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000002@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000003@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000004@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
    000000000005@PackedCatalogItem = %SystemRoot%\system32\rsvpsp.dll
    000000000006@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000007@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000008@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000009@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000010@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000011@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000012@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000013@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    000000000014@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015@PackedCatalogItem = %SystemRoot%\system32\mswsock.dll
    D:\Documents and Settings\Nikolay\ = hide.bat
    ---- EOF - GMER 1.0.12 ----
    Последний раз редактировалось Макcим; 23.01.2008 в 11:35. Причина: Добавил оформление

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    hide.bat поищи через AVZ, м.б. и найдется.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Файл сохранён как 080122_115822_virus_47962ebed6597.zip
    Размер файла 595
    MD5 c4a060c69492e138f4e464d47cda5749

    в hide.bat написано следующее
    c:\system\svchоst.exe
    sc start secdir

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    сделайте новые логи ....

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Немогу прикрепить к файлу возникает ошибка, поэтому выкладываю сюда.

    Код:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:44:55, on 23.01.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal
    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\Program Files\Unlocker\UnlockerAssistant.exe
    D:\Program Files\Punto Switcher\ps.exe
    D:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\SOFT\!!!ЗАЩИТА!!!\ANTIVIRUS!!!\HijackThis.exe
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll (file missing)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Program Files\Unlocker\UnlockerAssistant.exe" -H
    O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe
    O4 - HKUS\S-1-5-19\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Punto Switcher] D:\Program Files\Punto Switcher\ps.exe (User 'Default user')
    O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm
    O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm
    O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe (file missing)
    O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1F559A3B-1AAC-4868-A642-40EC2162F9F7}: NameServer = 87.236.40.248 87.236.40.249
    O17 - HKLM\System\CCS\Services\Tcpip\..\{96514A51-8D90-4163-AF82-C424B489F7CA}: NameServer = 87.236.40.248,87.236.40.249
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1F559A3B-1AAC-4868-A642-40EC2162F9F7}: NameServer = 87.236.40.248 87.236.40.249
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe
    O23 - Service: Privacyware network service (PFNet) - Unknown owner - D:\Program Files\Privacyware\Dynamic Security Agent\pfsvc.exe (file missing)
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe
    O23 - Service: Remote Administrator Service (r_server) - Unknown owner - D:\WINDOWS\system32\r_server.exe (file missing)
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe
    --
    End of file - 4108 bytes
    Код:
    Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.29
    Сканирование запущено в 23.01.2008 14:16:19
    Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
    Загружены микропрограммы эвристики: 371
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 66967
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
     Анализ kernel32.dll, таблица экспорта найдена в секции .text
    Функция kernel32.dll:GetProcAddress (408) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80ADA0->7C883FEC
    Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D77->7C883F9C
    Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801D4F->7C883FB0
    Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C801AF1->7C883FD8
    Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C80AE4B->7C883FC4
    Детектирована модификация IAT: LoadLibraryA - 7C883F9C<>7C801D77
    Детектирована модификация IAT: GetProcAddress - 7C883FEC<>7C80ADA0
     Анализ ntdll.dll, таблица экспорта найдена в секции .text
     Анализ user32.dll, таблица экспорта найдена в секции .text
    Функция user32.dll:RegisterRawInputDevices (546) перехвачена, метод ProcAddressHijack.GetProcAddress ->7E3BCD4C->7E4001D0
     Анализ advapi32.dll, таблица экспорта найдена в секции .text
     Анализ ws2_32.dll, таблица экспорта найдена в секции .text
     Анализ wininet.dll, таблица экспорта найдена в секции .text
     Анализ rasapi32.dll, таблица экспорта найдена в секции .text
     Анализ urlmon.dll, таблица экспорта найдена в секции .text
     Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
     Драйвер успешно загружен
     SDT найдена (RVA=082880)
     Ядро ntoskrnl.exe обнаружено в памяти по адресу 80800000
       SDT = 80882880
       KiST = 8080B6A8 (284)
    Функция NtClose (19) перехвачена (8088FF49->F803D300), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtConnectPort (1F) перехвачена (808B4738->F803B3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateKey (29) перехвачена (808979A9->F802E7F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateProcess (2F) перехвачена (808D9199->F803D030), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateProcessEx (30) перехвачена (808AB016->F803D1A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateSection (32) перехвачена (8088D81B->F803DE00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateSymbolicLinkObject (34) перехвачена (808C934A->F803D8D0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtCreateThread (35) перехвачена (808A537E->F803E740), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtDeleteKey (3F) перехвачена (808BDD25->F802E8F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtDeleteValueKey (41) перехвачена (808BC6FB->F802E970), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtDuplicateObject (44) перехвачена (8089D006->F803D4A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtEnumerateKey (47) перехвачена (808980B0->F802EA00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtEnumerateValueKey (49) перехвачена (808A7BEF->F802EAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtFlushKey (4F) перехвачена (808C6370->F802EB60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtInitializeRegistry (5C) перехвачена (808CFDBB->F802EBE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtLoadDriver (61) перехвачена (808CC000->F803AF60), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtLoadKey (62) перехвачена (808D6B7C->F802F5E0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtLoadKey2 (63) перехвачена (808D69CA->F802EC00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtNotifyChangeKey (6F) перехвачена (808B8E26->F802ECD0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtOpenFile (74) перехвачена (8089A073->F973D020), перехватчик D:\WINDOWS\system32\Drivers\kl1.sys, драйвер опознан как безопасный
    Функция NtOpenKey (77) перехвачена (80890EFB->F802EDB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtOpenProcess (7A) перехвачена (8089D1E6->F803CE20), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtOpenSection (7D) перехвачена (808A15EF->F803DC30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtQueryKey (A0) перехвачена (80897DB9->F802EE80), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtQueryMultipleValueKey (A1) перехвачена (809760DC->F802EF30), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtQuerySystemInformation (AD) перехвачена (808A6666->F803E3F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtQueryValueKey (B1) перехвачена (80894303->F802EFE0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtReplaceKey (C1) перехвачена (80976A16->F802F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtRequestWaitReplyPort (C8) перехвачена (808A00DF->F803B990), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtRestoreKey (CC) перехвачена (80975534->F802F120), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtResumeThread (CE) перехвачена (808A59F1->F803E6F0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSaveKey (CF) перехвачена (809755DB->F802F320), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetContextThread (D5) перехвачена (809558FF->F803EA70), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetInformationFile (E0) перехвачена (808A22F1->F803F090), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetInformationKey (E2) перехвачена (80975C3F->F802F3B0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetSecurityObject (ED) перехвачена (808C411F->F8039B00), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetSystemInformation (F0) перехвачена (808CF934->F803DAB0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSetValueKey (F7) перехвачена (8089E16D->F802F450), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSuspendThread (FE) перехвачена (80908C3D->F803E6A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtSystemDebugControl (FF) перехвачена (80971893->F803B270), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtTerminateProcess (101) перехвачена (808AD781->F803E290), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtUnloadKey (107) перехвачена (8097580D->F802F5A0), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция NtWriteVirtualMemory (115) перехвачена (808A8055->F803D360), перехватчик D:\WINDOWS\system32\drivers\klif.sys
    Функция FsRtlCheckLockForReadAccess (8082C289) - модификация машинного кода. Метод JmpTo. jmp F803F4B0 \??\D:\WINDOWS\system32\drivers\klif.sys
    Функция IoIsOperationSynchronous (8081175A) - модификация машинного кода. Метод JmpTo. jmp F803F9B0 \??\D:\WINDOWS\system32\drivers\klif.sys
    Проверено функций: 284, перехвачено: 43, восстановлено: 0
    1.3 Проверка IDT и SYSENTER
     Анализ для процессора 1
     Проверка IDT и SYSENTER завершена
    1.4 Поиск маскировки процессов и драйверов
     Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    2. Проверка памяти
     Количество найденных процессов: 14
     Количество загруженных модулей: 201
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ: 
     Типичное для кейлоггеров поведение не зарегистрировано
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ: 
     Типичное для кейлоггеров поведение не зарегистрировано
    D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ: 
      1. Реагирует на события: клавиатура, мышь
      2. Передает данные процессу: 1408 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
      3. Выясняет, какое окно находится в фокусе ввода
      4. Опрашивает состояние клавиш
      5. Опрашивает состояние клавиатуры
      6. Опрашивает активную раскладку клавиатуры
      7. Определяет ASCII коды по кодам клавиш
    D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 215, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 23.01.2008 14:17:18
    Сканирование длилось 00:01:00
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Выполняется исследование системы
    Код:
    Внимание !!! База поcледний раз обновлялась 12.12.2007 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    Протокол антивирусной утилиты AVZ версии 4.29
    Сканирование запущено в 23.01.2008 14:27:58
    Загружена база: сигнатуры - 138934, нейропрофили - 2, микропрограммы лечения - 55, база от 12.12.2007 10:43
    Загружены микропрограммы эвристики: 371
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 66967
    Режим эвристического анализатора: Средний уровень эвристики
    Режим лечения: включено
    Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
    Восстановление системы: Отключено
    1. Поиск RootKit и программ, перехватывающих функции API
    Ошибка в работе антируткита [Access violation at address 0040517F in module 'avz.exe'. Read of address 62696832], шаг [9]
    2. Проверка памяти
     Количество найденных процессов: 15
     Количество загруженных модулей: 211
    Проверка памяти завершена
    3. Сканирование дисков
    D:\Downloads\rk.zip/{ZIP}/Output/NTROOT.sys >>>>> Backdoor.Win32.NTRootKit.044 
    Прямое чтение D:\SOFT\от MS & SERVERS\cforce.exe
    Прямое чтение D:\WINDOWS\system32\drivers\sptd.sys
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
     Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll>>> Поведенческий анализ: 
     Типичное для кейлоггеров поведение не зарегистрировано
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\fssync.dll>>> Поведенческий анализ: 
     Типичное для кейлоггеров поведение не зарегистрировано
    D:\Program Files\Punto Switcher\correct.dll --> Подозрение на Keylogger или троянскую DLL
    D:\Program Files\Punto Switcher\correct.dll>>> Поведенческий анализ: 
      1. Реагирует на события: клавиатура, мышь
      2. Передает данные процессу: 1404 D:\Program Files\Punto Switcher\ps.exe (окно = "Punto Switcher Main Window")
      3. Выясняет, какое окно находится в фокусе ввода
      4. Опрашивает состояние клавиш
      5. Опрашивает состояние клавиатуры
      6. Опрашивает активную раскладку клавиатуры
      7. Определяет ASCII коды по кодам клавиш
    D:\Program Files\Punto Switcher\correct.dll>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
    На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
     Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Проверка завершена
    9. Мастер поиска и устранения проблем
    Проверка завершена
    Просканировано файлов: 48890, извлечено из архивов: 36370, найдено вредоносных программ 1, подозрений - 0
    Сканирование завершено в 23.01.2008 14:39:22
    Сканирование длилось 00:11:26
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться в конференцию - http://virusinfo.info
    Создание архива с файлами из карантина
    Создание архива с файлами из карантина завершено
    Выполняется исследование системы
    И всё же папка c:\system не удаляется, скорей всего перехватывает драйвер secdir.sys
    Последний раз редактировалось Макcим; 23.01.2008 в 11:33. Причина: Добавил оформление

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2502
    Этот hide.bat можно спокойно удалять через AVZ. Запускалка вируса- оригинально.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    через авз не смог удалить
    а через cmd.exe как-то легко удалился этот hide.bat
    Теперь троян не будет запускаться при запуске виндовс
    Но всё же меня смущает папка c:\system и файл c:\system\svchоst.exe
    Никак немогу удалить KIS 7.0.1.321 пишет следующее
    23.01.2008 15:22:03 Файл: C:\system обнаружено: новая угроза 'Hidden.Object' (модификация)
    предложите ваши варианты

  11. #10
    Visiting Helper Репутация
    Регистрация
    15.10.2007
    Адрес
    Saint-Petersburg
    Сообщений
    79
    Вес репутации
    40
    логи заархивируйте с каким-нибудь паролем и залейте на какой-нибудь slil.ru. Ссылку и пароль напишите в тему.

  12. #11
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,342
    Вес репутации
    55
    База поcледний раз обновлялась 12.12.2007
    И обновите avz
    Microsoft Most Valuable Professional in Consumer Security

  13. #12
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    залил на http://slil.ru/25394264 файл logi.rar пароль logi

    Добавлено через 1 час 1 минуту

    помогите удалить c:\system и c:\system\svchоst.exe
    Последний раз редактировалось NikolayFirsov; 24.01.2008 в 15:17. Причина: Добавлено

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    544
    логи avz не те, которые нужны - перечитайте правила

  15. #14
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    сделал новые логи программой Kaspersky Virus Removel Tool 7.0.0.180 14.01.2008
    и avz , третий пунтк авз не сохраняет логи, какой программой можно сделать третие логи?
    вот архив avz_logs.rar на http://slil.ru/25397702 пароль к архиву 111
    И я понял что папка c:\system неудаляется из-за загруженного драйвера в память secdir.sys
    Как удалить службу secdir и как удалить драйвер?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    то что вы прислали не годится ... лог не информативный ...
    сделайте все по правилам ... иначе мы не сможем вам помочь ...

  17. #16
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    прислал новые логи по правилам
    Вложения Вложения
    Последний раз редактировалось NikolayFirsov; 25.01.2008 в 12:16.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1557
    virusinfo_cure.zip уберите и загрузите тут: http://virusinfo.info/upload_virus.php?tid=16778.

    Отключите восстановление системы!
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\System32\Drivers\secdir.SYS','');
     DeleteFile('D:\WINDOWS\System32\Drivers\secdir.SYS');
     BC_DeleteFile('D:\WINDOWS\System32\Drivers\secdir.SYS');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=16778).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  19. #18
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Загрузил как
    Файл сохранён как 080125_031801_virusinfo_cure_4799a9497f5a3.zip
    Размер файла 448045
    MD5 a35f96d77ed2b0d2735f09d0c93f1597

    Отключил восстановление системы
    Выполнил скрипт
    Перезагрузился
    Карантин пуст
    Вот новые логи
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1503
    выполните скрипт ....
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\system\secdir.sys','');     
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...

  21. #20
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.01.2008
    Сообщений
    113
    Вес репутации
    0
    Выполнил скрипт..
    Карантин пустой
    Когда выполнялся скрипт там было написано что нету прав доступа в папку c:\system, даже небыло доступа при попытки прямого чтения, и даже после перезагрузке неудалился
    как быть что делать дальше посоветуете

  • Уважаемый(ая) NikolayFirsov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Руткит или нет
      От chilikuku в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.03.2011, 10:57
    2. Есть руткит, или нет руткит?
      От Duke Solo в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.11.2010, 21:11
    3. Не удаляется руткит!
      От dajal в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 04:21
    4. Ответов: 10
      Последнее сообщение: 22.02.2009, 04:00
    5. Ответов: 1
      Последнее сообщение: 03.02.2009, 15:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00678 seconds with 17 queries