Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.72/46: Рейтинг темы: голосов - 46, средняя оценка - 4.72
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
1

Ошибка при открытии файлов .exe

01.10.2010, 13:07. Показов 9165. Ответов 20
Метки нет (Все метки)

Добрый день. Помогите пожалуйста решить проблему - при попытке открытия файлов с расширением exe, окно не успев открыться - тут же вылетает. Плюс ко всему, после загрузки системы выдается сообщение, что оригинальные файлы Виндовс XP заменены на неизвестные версии. проверка NODом ничего не дала. ComboFix выдал следующее:
ComboFix 10-09-30.03 - Администратор 01.10.2010 14:21:59.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1670 [GMT 6:00]
Running from: c:\documents and settings\All Users\Документы\ComboFix.exe
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe
c:\documents and settings\Администратор\Application Data\usernt.dat
c:\documents and settings\Администратор\csrss.exe
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
c:\windows\settings.reg
c:\windows\system32\Data
c:\windows\system32\drivers\etc\hosts1
c:\windows\system32\f
c:\windows\system32\i
c:\windows\system32\msconfig.exe

----- BITS: Possible infected sites -----

hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-09-01 to 2010-10-01 )))))))))))))))))))))))))))))))
.

2010-10-01 08:14 . 2010-10-01 08:15 -------- d-----w- C:\32788R22FWJFW
2010-09-30 16:18 . 2010-09-30 16:18 48128 ----a-w- c:\windows\system32\c65e7e80.exe
2010-09-22 16:51 . 2010-09-22 16:51 52736 ----a-w- c:\windows\system32\c3d69b4a.exe
2010-09-22 16:39 . 2010-09-22 16:39 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-21 08:44 . 2010-09-21 08:44 -------- d--h--w- c:\windows\ie8
2010-09-20 09:34 . 2010-09-20 09:34 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-09-20 06:24 . 2010-09-20 06:24 166912 ----a-w- c:\windows\system32\jlodxb.exe
2010-09-20 04:01 . 2010-09-20 04:01 48128 ----a-w- c:\windows\system32\be2526ef.exe
2010-09-19 16:50 . 2010-09-19 16:50 159744 ----a-w- c:\windows\system32\rxyztc.exe
2010-09-19 16:50 . 2010-09-19 16:50 50688 ----a-w- c:\windows\system32\40f9ff2c.exe
2010-09-15 05:27 . 2010-09-15 05:36 -------- d-----w- c:\program files\Opera

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 08:25 . 2004-08-18 12:00 528924 ----a-w- c:\windows\system32\perfh019.dat
2010-10-01 08:25 . 2004-08-18 12:00 102744 ----a-w- c:\windows\system32\perfc019.dat
2010-10-01 08:21 . 2010-10-01 08:21 -------- d-----w- c:\program files\Common Files\b4fe9e65
2010-10-01 08:15 . 2008-09-26 20:17 -------- d-----w- c:\documents and settings\Администратор\Application Data\uTorrent
2010-10-01 08:08 . 2010-09-19 16:51 53558 ----a-w- c:\program files\Common Files\jqyrg4inedzz13m
2010-09-26 09:36 . 2009-08-15 14:50 -------- d-----w- c:\program files\Bashkortostan Phones Guider
2010-09-21 17:27 . 2009-12-23 14:30 -------- d-----w- c:\documents and settings\Администратор\Application Data\Skype
2010-09-18 16:37 . 2008-10-07 17:02 -------- d-----w- c:\program files\Google
2010-09-17 15:47 . 2008-09-27 21:13 -------- d-----w- c:\program files\uTorrent
2010-09-05 18:11 . 2008-10-13 14:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-09-05 18:11 . 2008-09-27 15:27 37896 ----a-w- c:\documents and settings\Администратор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-23 05:32 . 2010-08-23 05:32 -------- d-----w- c:\program files\WinAVI Video Converter
2010-08-23 05:31 . 2010-08-23 05:31 3082 ----a-w- c:\windows\system32\affv9869p2now.sys
2010-08-23 05:27 . 2010-08-23 05:22 -------- d-----w- c:\program files\Ace Video Workshop
2010-08-23 05:07 . 2010-08-23 05:04 -------- d-----w- c:\documents and settings\Администратор\Application Data\avidemux
2010-08-23 04:42 . 2010-08-23 04:42 -------- d-----w- c:\documents and settings\Администратор\Application Data\Ahead
2010-08-17 06:28 . 2009-02-09 13:34 -------- d-----w- c:\documents and settings\Администратор\Application Data\Yandex
2010-08-15 10:35 . 2009-11-07 20:47 -------- d-----w- c:\documents and settings\Администратор\Application Data\skypePM
2006-07-18 19:03 . 2009-08-18 04:12 13312 ----a-w- c:\program files\IconPositions.exe
.

------- Sigcheck -------
Пожалуйста помогите.
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
01.10.2010, 13:07
Ответы с готовыми решениями:

При открытии exe выходит ошибка rundll32 инструкция обратилась к памяти. Память не может быть read
Здравствуйте. На работе 2 компьютера с идентичными ошибками. При открытии exe программ, не всех, но...

При открытии exe выходит ошибка rundll32 инструкция обратилась к памяти. Память не может быть read
Здравствуйте, лог второго компьютера в новой теме. Также вылетает ошибка rundll32 инструкция...

При открытии .exe файлов выскакивает ошибка: "системе не удалось найти указанный путь"
При открытии .exe файлов выскакивает ошибка: "системе не удалось найти указанный путь". Искал в...

Ошибка при открытии exe уроков
Помогите пожалуйста, такая проблема. Смотрел смотрел видео уроки, и тут бац ошибка: Извиняюсь...

20
Эксперт по компьютерным сетям
3540 / 1339 / 238
Регистрация: 23.06.2009
Сообщений: 4,738
02.10.2010, 08:43 2
Прикрепите полностью лог ComboFix.txt (расширенный режим ответа -> управление вложениями)
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
02.10.2010, 22:35  [ТС] 3
лог
ComboFix 10-09-30.03 - Администратор 01.10.2010 14:21:59.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.2047.1670 [GMT 6:00]
Running from: c:\documents and settings\All Users\Документы\ComboFix.exe
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\chkntfs.exe
c:\documents and settings\Администратор\Application Data\usernt.dat
c:\documents and settings\Администратор\csrss.exe
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\program files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll
c:\windows\settings.reg
c:\windows\system32\Data
c:\windows\system32\drivers\etc\hosts1
c:\windows\system32\f
c:\windows\system32\i
c:\windows\system32\msconfig.exe

----- BITS: Possible infected sites -----

hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
.
((((((((((((((((((((((((( Files Created from 2010-09-01 to 2010-10-01 )))))))))))))))))))))))))))))))
.

2010-10-01 08:14 . 2010-10-01 08:15 -------- d-----w- C:\32788R22FWJFW
2010-09-30 16:18 . 2010-09-30 16:18 48128 ----a-w- c:\windows\system32\c65e7e80.exe
2010-09-22 16:51 . 2010-09-22 16:51 52736 ----a-w- c:\windows\system32\c3d69b4a.exe
2010-09-22 16:39 . 2010-09-22 16:39 -------- d-----w- c:\windows\system32\wbem\Repository
2010-09-21 08:44 . 2010-09-21 08:44 -------- d--h--w- c:\windows\ie8
2010-09-20 09:34 . 2010-09-20 09:34 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-09-20 06:24 . 2010-09-20 06:24 166912 ----a-w- c:\windows\system32\jlodxb.exe
2010-09-20 04:01 . 2010-09-20 04:01 48128 ----a-w- c:\windows\system32\be2526ef.exe
2010-09-19 16:50 . 2010-09-19 16:50 159744 ----a-w- c:\windows\system32\rxyztc.exe
2010-09-19 16:50 . 2010-09-19 16:50 50688 ----a-w- c:\windows\system32\40f9ff2c.exe
2010-09-15 05:27 . 2010-09-15 05:36 -------- d-----w- c:\program files\Opera

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-01 08:25 . 2004-08-18 12:00 528924 ----a-w- c:\windows\system32\perfh019.dat
2010-10-01 08:25 . 2004-08-18 12:00 102744 ----a-w- c:\windows\system32\perfc019.dat
2010-10-01 08:21 . 2010-10-01 08:21 -------- d-----w- c:\program files\Common Files\b4fe9e65
2010-10-01 08:15 . 2008-09-26 20:17 -------- d-----w- c:\documents and settings\Администратор\Application Data\uTorrent
2010-10-01 08:08 . 2010-09-19 16:51 53558 ----a-w- c:\program files\Common Files\jqyrg4inedzz13m
2010-09-26 09:36 . 2009-08-15 14:50 -------- d-----w- c:\program files\Bashkortostan Phones Guider
2010-09-21 17:27 . 2009-12-23 14:30 -------- d-----w- c:\documents and settings\Администратор\Application Data\Skype
2010-09-18 16:37 . 2008-10-07 17:02 -------- d-----w- c:\program files\Google
2010-09-17 15:47 . 2008-09-27 21:13 -------- d-----w- c:\program files\uTorrent
2010-09-05 18:11 . 2008-10-13 14:49 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-09-05 18:11 . 2008-09-27 15:27 37896 ----a-w- c:\documents and settings\Администратор\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-23 05:32 . 2010-08-23 05:32 -------- d-----w- c:\program files\WinAVI Video Converter
2010-08-23 05:31 . 2010-08-23 05:31 3082 ----a-w- c:\windows\system32\affv9869p2now.sys
2010-08-23 05:27 . 2010-08-23 05:22 -------- d-----w- c:\program files\Ace Video Workshop
2010-08-23 05:07 . 2010-08-23 05:04 -------- d-----w- c:\documents and settings\Администратор\Application Data\avidemux
2010-08-23 04:42 . 2010-08-23 04:42 -------- d-----w- c:\documents and settings\Администратор\Application Data\Ahead
2010-08-17 06:28 . 2009-02-09 13:34 -------- d-----w- c:\documents and settings\Администратор\Application Data\Yandex
2010-08-15 10:35 . 2009-11-07 20:47 -------- d-----w- c:\documents and settings\Администратор\Application Data\skypePM
2006-07-18 19:03 . 2009-08-18 04:12 13312 ----a-w- c:\program files\IconPositions.exe
.

------- Sigcheck -------


[-] 2007-12-23 . BB4D3A8E6F7EB1D370BC4AD27AB23368 . 360576 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys

[-] 2007-12-23 . E4807D1A16178552C3EED3155CD04707 . 80216 . . [7.0.6000.381] . . c:\windows\system32\wuauclt.exe

[-] 2007-12-23 . 4E823118156A1DE4C1DCFBAD30FED52F . 578560 . . [5.1.2600.3099] . . c:\windows\system32\user32.dll

[-] 2007-12-23 . FDD34B5D6873819FAF46602AB0FB4239 . 1608704 . . [6.00.2900.3156] . . c:\windows\explorer.exe


[-] 2007-12-23 . AA554C29D6BB49EFF419A42767B605A9 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll

[-] 2007-12-23 . E0C27017167AC782AAB0446C0F95451C . 30208 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe


c:\windows\System32\drivers\beep.sys ... is missing !!
c:\windows\System32\wscntfy.exe ... is missing !!
c:\windows\System32\regsvc.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2010-08-04 10669384]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2010-08-04 10669384]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-09-17 306480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-12-23 30208]
"LClock"="c:\program files\LClock\LClock.exe" [2007-12-19 135168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersio n\RunOnce]
"IE7_011"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-07 128512]
"IE7_012"="advpack.dll" [2009-03-07 128512]

[HKEY_USERS\.default\software\microsoft\windows\currentversio n\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,c:\windows\syst em32\40f9ff2c.exe,c:\windows\system32\rxyztc.exe,"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0pgdfgsvc C 1

[HKLM\~\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^Adobe Gamma.lnk]
path=c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^Launch Context 5.0.lnk]
path=c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\Launch Context 5.0.lnk
backup=c:\windows\pss\Launch Context 5.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALCalendar]
yes [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UserFaultCheck]
c:\windows\system32\dumprep 0 -u [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2007-12-23 16:54 30208 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTSysVol]
2005-10-31 05:51 57344 ------w- c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Download Master]
2010-01-15 10:12 3779584 ----a-w- c:\program files\Download Master\dmaster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LClock]
2007-12-19 22:14 135168 ----a-w- c:\program files\LClock\LClock.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2009-08-09 15:24 7975608 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2006-09-16 01:27 2048000 ------w- c:\program files\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-13 03:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui]
2009-03-28 19:36 921600 ----a-w- c:\program files\ESET\nod32kui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P17Helper]
2005-05-03 11:38 64512 ----a-w- c:\windows\system32\P17.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
2004-03-10 18:26 406016 ----a-w- c:\windows\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
2004-04-04 14:47 1179648 ----a-w- c:\program files\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-03-09 04:02 26100520 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SNPSTD2]
2004-08-30 11:37 286720 ----a-w- c:\windows\vsnpstd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2004-06-18 08:31 67584 ----a-r- c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2008-10-22 19:36 68856 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
2006-09-07 17:19 15872 ----a-w- c:\program files\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
2000-05-10 20:00 90112 ------w- c:\windows\Updreg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2010-09-17 15:47 306480 ----a-w- c:\program files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vistadrv]
2006-07-29 23:37 121089 ----a-w- c:\program files\VistaDrive\vsdrv.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Mail.Ru\\Agent\\magent.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\stand ardprofile\GloballyOpenPorts\List]
"7205:TCP"= 7205:TCP

R0 a348scsi;a348scsi;c:\windows\system32\drivers\a348scsi.sys [28.09.2008 3:11 5248]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 18:46 63352]
R3 BENDER;Pinnacle DV/AV Capture;c:\windows\system32\drivers\bender.sys [27.09.2008 22:03 180480]
S2 gupdate1ca5feb333004fe;Служба Google Update (gupdate1ca5feb333004fe);c:\program files\Google\Update\GoogleUpdate.exe [08.11.2009 2:45 133104]
S4 a348bus;a348bus;c:\windows\system32\drivers\a348bus.sys [28.09.2008 3:11 160640]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.09.2008 3:11 685816]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - HELPSVC
.
Contents of the 'Scheduled Tasks' folder

2010-10-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore1cb459ec1745bae. job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-07 20:45]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Run Context - c:\program files\Informatic\Context 5.0\cnie5.htm
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: Передать на удаленную закачку DM - c:\program files\Download Master\remdown.htm
IE: Поиск@Mail.Ru - c:\program files\Mail.Ru\Sputnik\MailRuSputnik.dll/282
IE: Словари@Mail.Ru - c:\program files\Mail.Ru\Sputnik\MailRuSputnik.dll/283
IE: {{26231800-6CE9-43d8-9357-5B4DC8CF4561} - c:\program files\Informatic\Context 5.0\cnie5.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} - c:\program files\Mail.Ru\Agent\magent.exe
LSP: c:\windows\system32\imon.dll
.
- - - - ORPHANS REMOVED - - - -

HKU-Default-Run-UberIcon - c:\program files\UberIconUberIcon Manager.exe
MSConfigStartUp-ISTray - c:\program files\Spyware Doctor\pctsTray.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
MSConfigStartUp-UberIcon - c:\program files\UberIconUberIcon Manager.exe
MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe
MSConfigStartUp-Yupdate! - c:\program files\Common Files\Yandex\Yupdate\yupdate.exe
ActiveSetup-{77BCK2V0-3HKJ-89VV-XAF2-88KL5R9896622} - c:\re\BACK\BcK.exe



************************************************************ **************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-01 14:26
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************************ **************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A716A58]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba90cfc3
\Driver\ACPI -> ACPI.sys @ 0xba77fcb8
\Driver\atapi -> atapi.sys @ 0xba6fe7b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xba5debb0
PacketIndicateHandler -> NDIS.sys @ 0xba5cda0d
SendHandler -> NDIS.sys @ 0xba5e1b40
user & kernel MBR OK

************************************************************ **************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-484763869-573735546-682003330-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00 ,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,3d,0a,7a,34,9b,e7, a7,4d,a5,64,3b,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00 ,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,85,db,0a,95,1d,f2, a3,4a,83,9a,d5,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00 ,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cd,0a,9f,9d,b7,47, 98,44,a4,eb,ff,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(556)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll

- - - - - - - > 'lsass.exe'(612)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Completion time: 2010-10-01 14:28:02
ComboFix-quarantined-files.txt 2010-10-01 08:27

Pre-Run: 31*883*808*768 байт свободно
Post-Run: 31*998*124*032 байт свободно

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 44F9D4D0FDCBA14B0E4526EC33DE7E58
0
Эксперт по компьютерным сетям
3540 / 1339 / 238
Регистрация: 23.06.2009
Сообщений: 4,738
02.10.2010, 22:42 4
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код
KillAll::

File::
c:\windows\system32\c65e7e80.exe
c:\windows\system32\c3d69b4a.exe
c:\windows\system32\jlodxb.exe
c:\windows\system32\be2526ef.exe
c:\windows\system32\rxyztc.exe
c:\windows\system32\40f9ff2c.exe
c:\program files\Common Files\jqyrg4inedzz13m
c: \windows\system32\rxyztc.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

Folder::
C:\32788R22FWJFW
c:\program files\Common Files\b4fe9e65
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
03.10.2010, 03:07  [ТС] 5
Здравствуйте.
Сделал все.

Вот результат:Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4734

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

03.10.2010 4:53:45
mbam-log-2010-10-03 (04-53-45).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 138011
Времени прошло: 8 минут, 6 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 1
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\WINDOWS\system32\blbkmy.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.


Все заработало! Спасибо большое!
И еще вопрос - нужно ли удалять ComboFix и как правильно это сделать?
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
03.10.2010, 03:36 6
Удалите в MBAM:
Код
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
C:\WINDOWS\system32\blbkmy.exe (Spyware.Passwords.XGen) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

Код
нужно ли удалять ComboFix и как правильно это сделать?
Обязательно нужно!

Нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Установите Service Pack 3 для Windows XP
1
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
03.10.2010, 07:36  [ТС] 7
Спасибо огромное! Сделал все, как вы рекомендовали! Работает отлично! Всех благ!
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
03.10.2010, 17:04 8
При повторном анализе вашего лога обнаружил еще одного зловреда!

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код
KillAll::

File::
c:\re\BACK\BcK.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
1
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
03.10.2010, 22:31  [ТС] 9
Искренне надеюсь, что теперь все чисто.
Вложения
Тип файла: txt ComboFix.txt (16.1 Кб, 51 просмотров)
0
Вирусоборец
1073 / 368 / 4
Регистрация: 05.08.2010
Сообщений: 1,056
03.10.2010, 23:01 10
нет, есть объекты на удаление..пожалуйста дождитесь ответа Fedin,
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
04.10.2010, 01:54 11
Простите что долго не отвечал.
Всё готово, остаётся только проверить один файл.
IconPositions - эту программу вы устанавливали?
Проверьте пожалуйста этот файл на www.virustotal.com
Код
c:\program files\[B]IconPositions.exe[/B]
Дайте ссылку на результат проверки в этой теме!

Добавлено через 1 час 9 минут
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код
KillAll::

File::
c:\windows\TEMP\GUR2.tmp
c:\windows\system32\affv9869p2now.sys

Driver::

Folder::
c:\program files\Common Files\b4fe9e8c
c:\program files\Common Files\b4fe9e65

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7205:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Добавлено через 19 минут
Сделайте лог MBAM


Также необходимо восстановить 2 системных файла:beep.sys и regsvc.dll

Вставьте установочный диск Windows XP.

Загрузитесь в Консоли восстановления
Введите:
Код
expand X:\i386\beep.sy_ c:\windows\System32\drivers\beep.sys
X:\ - буква CD/DVD-привода.

Введите:
Код
expand X:\i386\regsvc.dl_ с:\windows\System32\regsvc.dll
X:\ - буква CD/DVD-привода.

Чтобы выйти из консоли восстановления введите exit и нажмите клавишу ВВОД (ENTER).
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
04.10.2010, 21:46  [ТС] 12
http://www.virustotal.com/file... 1286214316
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
04.10.2010, 22:21  [ТС] 13
результат сканирования
Вложения
Тип файла: txt ComboFix.txt (15.7 Кб, 22 просмотров)
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
04.10.2010, 22:32  [ТС] 14
лог MBAM
Вложения
Тип файла: txt MBAM.txt (992 байт, 13 просмотров)
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
04.10.2010, 22:57 15
По логам ничего подозрительного.

Восстановите файлы beep.sys и regsvc.dll.



Деинсталляция ComboFix:
нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Деинсталляция Malwarebytes Anti-Malware:

Нажмите кнопку Пуск и выберите Панель управления
Откройте окно "Установка и удаление программ "
Удалите Malwarebytes 'Anti-Malware
Перезагрузите компьютер очень важно!
Скачайте и запустите mbam-clean.exe (http://www.malwarebytes.org/mbam-clean.exe)

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript.
Если вы используете браузер Internet Explorer, отключите в нем ActiveX
3.Устанавливайте обновления Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit
На время проверки системы, рекомендуется отключить антивирус!!!
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
05.10.2010, 01:02  [ТС] 16
ОГРОМНОЕ СПАСИБО!!!

Добавлено через 1 час 24 минуты
единственное, что не могу восстановить указанные Вами выше, файлы. Выдается сообщение - "не могу найти исходный файл"
Так ли критично для системы их отсутствие?.
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
05.10.2010, 01:11 17
Не забыли подставить свою букву привода вместо X:\?
Код
X:\ - буква CD/DVD-привода.
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
05.10.2010, 01:22  [ТС] 18
при попытке восстановления файлов пишет: System canot find the file on directory specified

Добавлено через 1 минуту
нет, поставил (в моем случае F
0
Вирусоборец
392 / 306 / 5
Регистрация: 02.06.2010
Сообщений: 816
05.10.2010, 17:27 19
Скачайте и распакуйте прикрепленный архив, в нем находятся оригинальные файлы beep.sys и regsvc.dll.

Загрузитесь с любого LiveCD.
Скопируйте скачанные файлы beep.sys и regsvc.dll в указанные папки.

beep.sys скопируйте в папки C:\Windows\system32\drivers\ и C:\Windows\system32\dllcache\
regsvc.dll скопируйте в папки C:\Windows\system32\ и C:\Windows\system32\dllcache\
Вложения
Тип файла: rar Новая папка.rar (30.3 Кб, 20 просмотров)
0
0 / 0 / 0
Регистрация: 01.10.2010
Сообщений: 11
05.10.2010, 18:39  [ТС] 20
Спасибо. Все сделал.
Впредь буду руководствоваться только Вашими рекомендациями!
Всего самого наилучшего!
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
05.10.2010, 18:39

Ошибка при открытии exe файла из кода
Добрый день. Занялся Java недавно, но кое- что понимаю в программировании (занимался GMS, С#,...

Ошибка при открытии файлов
Всем привет кто поможет с вопросом. Help me #include &lt;windows.h&gt; #include &lt;tchar.h&gt; #include...

Ошибка при открытии файлов
Что это может быть? http://floomby.ru/s1/DaBpAu http://floomby.ru/s1/RaBKvq

Ошибка при создании и открытии файлов
Написал программу которая позволяет создавать и открывать файлы,скажите плиз в чем ошибка?


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru