Решена Важно!!!! Заполонили вирусы!!!!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем vovo2005, 19 янв 2009.

Статус темы:
Закрыта.
  1. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    У меня был антивирусник nod 32, постоянно обновлял. Затем система начала показывать какие-то ошибки типа "win 32 не является приложением системы" и находилась в system 32. Как оказалось-это трояны и вирусы, причём их удаляешь, а после того как выходишь в инет или заново включаешь комп они опять появляются . Я удалил нод и установил нового каспера, он выдавал теже самые ошибки, удалял вирусы и трояны, но они опять и опять появляются такие как:
    19.01.2009 11:06:55 http://world.zavan.info/scanner.exe SMSS.EXE Запрещено: Trojan.Win32.Agent2.bj
    19.01.2009 14:26:10 C:\WINDOWS\system32\LJfcT\000.exe Неизвестное приложение Удалено: Backdoor.Win32.SdBot.jpn
    19.01.2009 14:25:59 C:\WINDOWS\system32\KDPrV\S001.exe Неизвестное приложение Удалено: Trojan-Downloader.Win32.Murlo.pm
    19.01.2009 14:25:59 C:\WINDOWS\system32\KDPrV\005.exe Неизвестное приложение Удалено: Packed.Win32.Krap.c
    19.01.2009 14:25:47 C:\WINDOWS\Temp\IXP001.TMP\nbsv.exe Неизвестное приложение Удалено: Trojan-Downloader.Win32.Agent.avwx
    19.01.2009 14:23:05 C:\WINDOWS\Temp\IXP001.TMP\nbsv.exe 00016.EXE Удалено: Trojan-Downloader.Win32.Agent.avwx
    18.01.2009 14:56:47 D:\Программы\Vkontakte.exe Проводник Не вылечено: HackTool.Win32.BruteForce.ad Пропущено пользователем
    18.01.2009 14:56:43 C:\WINDOWS\system32\IJGJf\S001.exe Программа передачи файлов (FTP) Удалено: Backdoor.Win32.Hupigon.foaa
    18.01.2009 14:55:05 D:\Программы\Vkontakte.exe Проводник Не вылечено: HackTool.Win32.BruteForce.ad Пропущено пользователем

    Из-за них комп тормозит и в инет не вылезишь, они опять начинают появляться.
    Помогите удалить их и что бы они больше не появлялись!!!! pleas!!! ОЧЕНЬ СРОЧНО НАДО!!!!
     
  2. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0125213.exe','');
     QuarantineFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0118969.exe','');
     QuarantineFile('D:\System Volume Information\_restore{185F5BFF-CD21-4146-A821-849F284773A4}\RP25\A0026855.exe','');
     QuarantineFile('C:\WINDOWS\system32\oaVWe\S002.exe','');
     DeleteFile('D:\System Volume Information\_restore{185F5BFF-CD21-4146-A821-849F284773A4}\RP25\A0026855.exe');
     DeleteFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0118969.exe');
     DeleteFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0125213.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Как использовать ComboFix - how-to-use-combofix
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания прикрепите файл C:\Report.txt к сообщению
    Описание SDFix есть Бесплатная утилита SDFix
     
  3. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Большое спасибо, всё получилось!!! У меня там ещё программы взломщики были, они тоже удалились?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Нет, но скорее всего HackTool будут удалены SDFix или ComboFix. Если они не возьмут уберем AVZ.

    P>S> Обычно подобные утилиты имеют закладки с вредоносными программами.
     
  5. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Высылаю что просили+RSIT:
     
  6. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    Папки вида c:\windows\system32\zPguc не вы случаем создавали?

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\windows\system32\scvhost.exe',' ');
     DeleteFile('c:\windows\system32\scvhost.exe');
     BC_ImportAll;
     BC_Activate;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     SaveLog(GetAVZDirectory+'avzlog.txt');
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


    Предыдущий карантин отправил аналитикам для разбора, там есть интересный файл
     
  7. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Нееее, такую фигню я не делал))
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Вижу работающие службы KasperskyAntiVirus

    Если нет, то выполните действия предложенные ниже.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    File::

    Driver::

    Folder::
    c:\windows\system32\zPguc
    c:\windows\system32\pYBHF
    c:\windows\system32\CTzbG
    c:\windows\system32\azFqX
    c:\windows\system32\YvlZb
    c:\windows\system32\THcdV
    c:\windows\system32\JlTou
    c:\windows\system32\BTipZ
    c:\windows\system32\xfqrS
    c:\windows\system32\Ufxdo
    c:\windows\system32\ftkof
    c:\windows\system32\axcud
    c:\windows\system32\ZYRSh
    c:\windows\system32\ZSPkl
    c:\windows\system32\lZPil
    c:\windows\system32\ExoaN
    c:\windows\system32\WLajY
    c:\windows\system32\RvJDQ
    c:\windows\system32\Jtek
    c:\windows\system32\VdKHW
    c:\windows\system32\QUljr
    c:\windows\system32\QoOdz
    c:\windows\system32\LPjSp
    c:\windows\system32\UReQ
    c:\windows\system32\ftUGU
    c:\windows\system32\DOfU
    c:\windows\system32\DleuA
    c:\windows\system32\yRbWv
    c:\windows\system32\gTCJU
    c:\windows\system32\BozcR
    c:\windows\system32\ZXYpm
    c:\windows\system32\vsbHo
    c:\windows\system32\JVDVG
    c:\windows\system32\ISDpt
    c:\windows\system32\UYUvZ
    c:\windows\system32\RGtsD
    c:\windows\system32\AASdk
    c:\windows\system32\oFZHw
    c:\windows\system32\ffgur
    c:\windows\system32\EDEWm
    c:\windows\system32\puubT
    c:\windows\system32\JHhCU
    c:\windows\system32\DCExf
    c:\windows\system32\akUOk
    c:\windows\system32\MvhbP
    c:\windows\system32\BBZSt
    c:\windows\system32\XTIGX
    c:\windows\system32\LJfcT
    c:\windows\system32\gBJFw
    c:\windows\msdownld.tmp
    c:\windows\system32\KDPrV
    c:\windows\system32\GrkWu
    c:\windows\system32\ysVXm
    c:\windows\system32\QOmJZ
    c:\windows\system32\mNuIp
    c:\windows\system32\kOwU
    c:\windows\system32\NVJxO
    c:\windows\system32\ILbZf
    c:\windows\system32\fbNeL
    c:\windows\system32\EGhQ
    c:\windows\system32\tsbam
    c:\windows\system32\evDYF
    c:\windows\system32\clVWH
    c:\windows\system32\sguMA
    c:\windows\system32\hqHHy
    c:\windows\system32\FxrHu
    c:\windows\system32\XnLBu
    c:\windows\system32\SIOYg
    c:\windows\system32\QsEor
    c:\windows\system32\cuFSw
    c:\windows\system32\TnNVD
    c:\windows\system32\hdoRj
    c:\windows\system32\fchEQ
    c:\windows\system32\HhqsD
    c:\windows\system32\FoOGr
    c:\windows\system32\WpHvk
    c:\windows\system32\iHWzl
    c:\windows\system32\UCFUB
    c:\windows\system32\tcYpn
    c:\windows\system32\VnvJv
    c:\windows\system32\nOBET
    c:\windows\system32\LwpJN
    c:\windows\system32\kVbj
    c:\windows\system32\JwcWV
    c:\windows\system32\iXnhO
    c:\windows\system32\xIlGj
    c:\windows\system32\gqaho
    c:\windows\system32\rlhfL
    c:\windows\system32\KkpgB
    c:\windows\system32\cgOwi
    c:\windows\system32\QVaLc
    c:\windows\system32\gsGMF
    c:\windows\system32\gOycW
    c:\windows\system32\ZSDrh
    c:\windows\system32\uQeGh
    c:\windows\system32\StaV
    c:\windows\system32\PJrey
    c:\windows\system32\lrnMR
    c:\windows\system32\cyjrw
    c:\windows\system32\OmtMh
    c:\windows\system32\LRRan
    c:\windows\system32\WTNEC
    c:\windows\system32\vrrpW
    c:\windows\system32\UiFRi
    c:\windows\system32\qJhaR
    c:\windows\system32\YDZGW
    c:\windows\system32\WRVKY
    c:\windows\system32\fkGpK
    c:\windows\system32\wZQAX
    c:\windows\system32\qJUHD
    c:\windows\system32\oaVWe
    c:\windows\system32\FCrBX
    c:\windows\system32\PxWAx
    c:\windows\system32\ibNRu
    c:\windows\system32\GYbDP
    c:\windows\system32\AzUvJ
    c:\windows\system32\weQnX
    c:\windows\system32\Cspzk
    c:\windows\system32\BBeIv
    c:\windows\system32\ZJsJv
    c:\windows\system32\rHUjf
    c:\windows\system32\Igref
    Registry::

    FileLook::

    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  9. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    ComboFix 09-01-19.01 - User 2009-01-20 13:02:56.2 - FAT32x86
    Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.255.88 [GMT 3:00]
    Running from: c:\documents and settings\User\Рабочий стол\ComboFix.exe
    Command switches used :: c:\documents and settings\User\Рабочий стол\CFScript.txt
    AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
    FW: Kaspersky Internet Security *disabled*
    * Created a new restore point

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\msdownld.tmp
    c:\windows\system32\AASdk
    c:\windows\system32\AASdk\k.x
    c:\windows\system32\akUOk
    c:\windows\system32\akUOk\k.x
    c:\windows\system32\axcud
    c:\windows\system32\axcud\k.x
    c:\windows\system32\azFqX
    c:\windows\system32\azFqX\k.x
    c:\windows\system32\AzUvJ
    c:\windows\system32\AzUvJ\00016.exe
    c:\windows\system32\AzUvJ\k.x
    c:\windows\system32\AzUvJ\S002.exe
    c:\windows\system32\BBeIv
    c:\windows\system32\BBeIv\k.x
    c:\windows\system32\BBZSt
    c:\windows\system32\BBZSt\00010.exe
    c:\windows\system32\BBZSt\k.x
    c:\windows\system32\BBZSt\S002.exe
    c:\windows\system32\BozcR
    c:\windows\system32\BozcR\k.x
    c:\windows\system32\BTipZ
    c:\windows\system32\BTipZ\k.x
    c:\windows\system32\cgOwi
    c:\windows\system32\cgOwi\k.x
    c:\windows\system32\clVWH
    c:\windows\system32\clVWH\k.x
    c:\windows\system32\Cspzk
    c:\windows\system32\Cspzk\00016.exe
    c:\windows\system32\Cspzk\k.x
    c:\windows\system32\Cspzk\S002.exe
    c:\windows\system32\CTzbG
    c:\windows\system32\CTzbG\k.x
    c:\windows\system32\cuFSw
    c:\windows\system32\cuFSw\00010.exe
    c:\windows\system32\cuFSw\00016.exe
    c:\windows\system32\cuFSw\k.x
    c:\windows\system32\cuFSw\S002.exe
    c:\windows\system32\cyjrw
    c:\windows\system32\cyjrw\k.x
    c:\windows\system32\DCExf
    c:\windows\system32\DCExf\k.x
    c:\windows\system32\DleuA
    c:\windows\system32\DleuA\k.x
    c:\windows\system32\DOfU
    c:\windows\system32\DOfU\k.x
    c:\windows\system32\EDEWm
    c:\windows\system32\EDEWm\k.x
    c:\windows\system32\EGhQ
    c:\windows\system32\EGhQ\k.x
    c:\windows\system32\evDYF
    c:\windows\system32\evDYF\00010.exe
    c:\windows\system32\evDYF\00016.exe
    c:\windows\system32\evDYF\D.bat
    c:\windows\system32\evDYF\k.x
    c:\windows\system32\evDYF\S002.exe
    c:\windows\system32\ExoaN
    c:\windows\system32\ExoaN\0001.exe
    c:\windows\system32\ExoaN\00010.exe
    c:\windows\system32\ExoaN\k.x
    c:\windows\system32\ExoaN\S002.exe
    c:\windows\system32\fbNeL
    c:\windows\system32\fbNeL\00010.exe
    c:\windows\system32\fbNeL\00016.exe
    c:\windows\system32\fbNeL\0003.exe
    c:\windows\system32\fbNeL\D.bat
    c:\windows\system32\fbNeL\k.x
    c:\windows\system32\fbNeL\S002.exe
    c:\windows\system32\fchEQ
    c:\windows\system32\fchEQ\00010.exe
    c:\windows\system32\fchEQ\00016.exe
    c:\windows\system32\fchEQ\0003.exe
    c:\windows\system32\fchEQ\k.x
    c:\windows\system32\fchEQ\S002.exe
    c:\windows\system32\FCrBX
    c:\windows\system32\FCrBX\00016.exe
    c:\windows\system32\FCrBX\0006.exe
    c:\windows\system32\FCrBX\k.x
    c:\windows\system32\FCrBX\S002.exe
    c:\windows\system32\ffgur
    c:\windows\system32\ffgur\k.x
    c:\windows\system32\fkGpK
    c:\windows\system32\fkGpK\k.x
    c:\windows\system32\FoOGr
    c:\windows\system32\FoOGr\k.x
    c:\windows\system32\ftkof
    c:\windows\system32\ftkof\k.x
    c:\windows\system32\ftUGU
    c:\windows\system32\ftUGU\k.x
    c:\windows\system32\FxrHu
    c:\windows\system32\FxrHu\k.x
    c:\windows\system32\gBJFw
    c:\windows\system32\gBJFw\k.x
    c:\windows\system32\gOycW
    c:\windows\system32\gOycW\00016.exe
    c:\windows\system32\gOycW\k.x
    c:\windows\system32\gOycW\S002.exe
    c:\windows\system32\gqaho
    c:\windows\system32\gqaho\k.x
    c:\windows\system32\GrkWu
    c:\windows\system32\GrkWu\k.x
    c:\windows\system32\gsGMF
    c:\windows\system32\gsGMF\k.x
    c:\windows\system32\gTCJU
    c:\windows\system32\gTCJU\00010.exe
    c:\windows\system32\gTCJU\0002.exe
    c:\windows\system32\gTCJU\k.x
    c:\windows\system32\gTCJU\S002.exe
    c:\windows\system32\GYbDP
    c:\windows\system32\GYbDP\k.x
    c:\windows\system32\hdoRj
    c:\windows\system32\hdoRj\k.x
    c:\windows\system32\HhqsD
    c:\windows\system32\HhqsD\00010.exe
    c:\windows\system32\HhqsD\00016.exe
    c:\windows\system32\HhqsD\0003.exe
    c:\windows\system32\HhqsD\k.x
    c:\windows\system32\HhqsD\S002.exe
    c:\windows\system32\hqHHy
    c:\windows\system32\hqHHy\00010.exe
    c:\windows\system32\hqHHy\00016.exe
    c:\windows\system32\hqHHy\0003.exe
    c:\windows\system32\hqHHy\D.bat
    c:\windows\system32\hqHHy\k.x
    c:\windows\system32\hqHHy\S002.exe
    c:\windows\system32\ibNRu
    c:\windows\system32\ibNRu\k.x
    c:\windows\system32\Igref
    c:\windows\system32\Igref\k.x
    c:\windows\system32\iHWzl
    c:\windows\system32\iHWzl\k.x
    c:\windows\system32\ILbZf
    c:\windows\system32\ILbZf\k.x
    c:\windows\system32\ISDpt
    c:\windows\system32\ISDpt\k.x
    c:\windows\system32\iXnhO
    c:\windows\system32\iXnhO\00016.exe
    c:\windows\system32\iXnhO\k.x
    c:\windows\system32\iXnhO\S002.exe
    c:\windows\system32\JHhCU
    c:\windows\system32\JHhCU\00010.exe
    c:\windows\system32\JHhCU\k.x
    c:\windows\system32\JHhCU\S002.exe
    c:\windows\system32\JlTou
    c:\windows\system32\JlTou\k.x
    c:\windows\system32\Jtek
    c:\windows\system32\Jtek\k.x
    c:\windows\system32\JVDVG
    c:\windows\system32\JVDVG\k.x
    c:\windows\system32\JVDVG\S002.exe
    c:\windows\system32\JwcWV
    c:\windows\system32\JwcWV\k.x
    c:\windows\system32\KDPrV
    c:\windows\system32\KDPrV\0001.exe
    c:\windows\system32\KDPrV\00010.exe
    c:\windows\system32\KDPrV\00016.exe
    c:\windows\system32\KDPrV\0002.exe
    c:\windows\system32\KDPrV\0003.exe
    c:\windows\system32\KDPrV\D.bat
    c:\windows\system32\KDPrV\k.x
    c:\windows\system32\KDPrV\S002.exe
    c:\windows\system32\KkpgB
    c:\windows\system32\KkpgB\00016.exe
    c:\windows\system32\KkpgB\k.x
    c:\windows\system32\KkpgB\S002.exe
    c:\windows\system32\kOwU
    c:\windows\system32\kOwU\00016.exe
    c:\windows\system32\kOwU\0003.exe
    c:\windows\system32\kOwU\D.bat
    c:\windows\system32\kOwU\k.x
    c:\windows\system32\kOwU\S002.exe
    c:\windows\system32\kVbj
    c:\windows\system32\kVbj\00016.exe
    c:\windows\system32\kVbj\k.x
    c:\windows\system32\kVbj\RemoteStorage.dll
    c:\windows\system32\kVbj\S002.exe
    c:\windows\system32\LJfcT
    c:\windows\system32\LJfcT\0001.exe
    c:\windows\system32\LJfcT\00010.exe
    c:\windows\system32\LJfcT\k.x
    c:\windows\system32\LPjSp
    c:\windows\system32\LPjSp\k.x
    c:\windows\system32\lrnMR
    c:\windows\system32\lrnMR\00016.exe
    c:\windows\system32\lrnMR\k.x
    c:\windows\system32\lrnMR\S002.exe
    c:\windows\system32\LRRan
    c:\windows\system32\LRRan\k.x
    c:\windows\system32\LwpJN
    c:\windows\system32\LwpJN\k.x
    c:\windows\system32\lZPil
    c:\windows\system32\lZPil\k.x
    c:\windows\system32\mNuIp
    c:\windows\system32\mNuIp\00016.exe
    c:\windows\system32\mNuIp\0002.exe
    c:\windows\system32\mNuIp\0003.exe
    c:\windows\system32\mNuIp\D.bat
    c:\windows\system32\mNuIp\k.x
    c:\windows\system32\mNuIp\S002.exe
    c:\windows\system32\MvhbP
    c:\windows\system32\MvhbP\0001.exe
    c:\windows\system32\MvhbP\00010.exe
    c:\windows\system32\MvhbP\k.x
    c:\windows\system32\MvhbP\S002.exe
    c:\windows\system32\nOBET
    c:\windows\system32\nOBET\00016.exe
    c:\windows\system32\nOBET\k.x
    c:\windows\system32\nOBET\S002.exe
    c:\windows\system32\NVJxO
    c:\windows\system32\NVJxO\k.x
    c:\windows\system32\oaVWe
    c:\windows\system32\oaVWe\00016.exe
    c:\windows\system32\oaVWe\0004.exe
    c:\windows\system32\oaVWe\0006.exe
    c:\windows\system32\oaVWe\k.x
    c:\windows\system32\oaVWe\S002.exe
    c:\windows\system32\oFZHw
    c:\windows\system32\oFZHw\00010.exe
    c:\windows\system32\oFZHw\0002.exe
    c:\windows\system32\oFZHw\k.x
    c:\windows\system32\oFZHw\S002.exe
    c:\windows\system32\OmtMh
    c:\windows\system32\OmtMh\00016.exe
    c:\windows\system32\OmtMh\k.x
    c:\windows\system32\OmtMh\S002.exe
    c:\windows\system32\PJrey
    c:\windows\system32\PJrey\k.x
    c:\windows\system32\puubT
    c:\windows\system32\puubT\k.x
    c:\windows\system32\PxWAx
    c:\windows\system32\PxWAx\k.x
    c:\windows\system32\pYBHF
    c:\windows\system32\pYBHF\k.x
    c:\windows\system32\qJhaR
    c:\windows\system32\qJhaR\00016.exe
    c:\windows\system32\qJhaR\0002.exe
    c:\windows\system32\qJhaR\k.x
    c:\windows\system32\qJhaR\S002.exe
    c:\windows\system32\qJUHD
    c:\windows\system32\qJUHD\k.x
    c:\windows\system32\QOmJZ
    c:\windows\system32\QOmJZ\k.x
    c:\windows\system32\QoOdz
    c:\windows\system32\QoOdz\k.x
    c:\windows\system32\QoOdz\S002.exe
    c:\windows\system32\QsEor
    c:\windows\system32\QsEor\00010.exe
    c:\windows\system32\QsEor\00016.exe
    c:\windows\system32\QsEor\0003.exe
    c:\windows\system32\QsEor\k.x
    c:\windows\system32\QsEor\S002.exe
    c:\windows\system32\QUljr
    c:\windows\system32\QUljr\k.x
    c:\windows\system32\QVaLc
    c:\windows\system32\QVaLc\k.x
    c:\windows\system32\RGtsD
    c:\windows\system32\RGtsD\0001.exe
    c:\windows\system32\RGtsD\00010.exe
    c:\windows\system32\RGtsD\k.x
    c:\windows\system32\RGtsD\S002.exe
    c:\windows\system32\rHUjf
    c:\windows\system32\rHUjf\00016.exe
    c:\windows\system32\rHUjf\k.x
    c:\windows\system32\rHUjf\S002.exe
    c:\windows\system32\rlhfL
    c:\windows\system32\rlhfL\00016.exe
    c:\windows\system32\rlhfL\k.x
    c:\windows\system32\rlhfL\RemoteStorage.dll
    c:\windows\system32\rlhfL\S002.exe
    c:\windows\system32\RvJDQ
    c:\windows\system32\RvJDQ\k.x
    c:\windows\system32\sguMA
    c:\windows\system32\sguMA\k.x
    c:\windows\system32\SIOYg
    c:\windows\system32\SIOYg\k.x
    c:\windows\system32\StaV
    c:\windows\system32\StaV\00016.exe
    c:\windows\system32\StaV\k.x
    c:\windows\system32\StaV\S002.exe
    c:\windows\system32\tcYpn
    c:\windows\system32\tcYpn\k.x
    c:\windows\system32\THcdV
    c:\windows\system32\THcdV\k.x
    c:\windows\system32\TnNVD
    c:\windows\system32\TnNVD\k.x
    c:\windows\system32\tsbam
    c:\windows\system32\tsbam\00016.exe
    c:\windows\system32\tsbam\D.bat
    c:\windows\system32\tsbam\k.x
    c:\windows\system32\tsbam\S002.exe
    c:\windows\system32\UCFUB
    c:\windows\system32\UCFUB\00016.exe
    c:\windows\system32\UCFUB\k.x
    c:\windows\system32\UCFUB\S002.exe
    c:\windows\system32\Ufxdo
    c:\windows\system32\Ufxdo\k.x
    c:\windows\system32\UiFRi
    c:\windows\system32\UiFRi\00016.exe
    c:\windows\system32\UiFRi\k.x
    c:\windows\system32\UiFRi\S002.exe
    c:\windows\system32\uQeGh
    c:\windows\system32\uQeGh\00016.exe
    c:\windows\system32\uQeGh\k.x
    c:\windows\system32\uQeGh\S002.exe
    c:\windows\system32\UReQ
    c:\windows\system32\UReQ\k.x
    c:\windows\system32\UYUvZ
    c:\windows\system32\UYUvZ\k.x
    c:\windows\system32\VdKHW
    c:\windows\system32\VdKHW\k.x
    c:\windows\system32\VnvJv
    c:\windows\system32\VnvJv\k.x
    c:\windows\system32\vrrpW
    c:\windows\system32\vrrpW\00016.exe
    c:\windows\system32\vrrpW\k.x
    c:\windows\system32\vrrpW\S002.exe
    c:\windows\system32\vsbHo
    c:\windows\system32\vsbHo\00010.exe
    c:\windows\system32\vsbHo\0002.exe
    c:\windows\system32\vsbHo\k.x
    c:\windows\system32\vsbHo\S002.exe
    c:\windows\system32\weQnX
    c:\windows\system32\weQnX\k.x
    c:\windows\system32\WLajY
    c:\windows\system32\WLajY\k.x
    c:\windows\system32\WpHvk
    c:\windows\system32\WpHvk\00016.exe
    c:\windows\system32\WpHvk\0003.exe
    c:\windows\system32\WpHvk\k.x
    c:\windows\system32\WpHvk\S002.exe
    c:\windows\system32\WRVKY
    c:\windows\system32\WRVKY\00016.exe
    c:\windows\system32\WRVKY\k.x
    c:\windows\system32\WRVKY\S002.exe
    c:\windows\system32\WTNEC
    c:\windows\system32\WTNEC\k.x
    c:\windows\system32\wZQAX
    c:\windows\system32\wZQAX\k.x
    c:\windows\system32\xfqrS
    c:\windows\system32\xfqrS\k.x
    c:\windows\system32\xIlGj
    c:\windows\system32\xIlGj\00016.exe
    c:\windows\system32\xIlGj\k.x
    c:\windows\system32\xIlGj\S002.exe
    c:\windows\system32\XnLBu
    c:\windows\system32\XnLBu\k.x
    c:\windows\system32\XTIGX
    c:\windows\system32\XTIGX\k.x
    c:\windows\system32\YDZGW
    c:\windows\system32\YDZGW\k.x
    c:\windows\system32\yRbWv
    c:\windows\system32\yRbWv\k.x
    c:\windows\system32\ysVXm
    c:\windows\system32\ysVXm\00016.exe
    c:\windows\system32\ysVXm\0002.exe
    c:\windows\system32\ysVXm\0003.exe
    c:\windows\system32\ysVXm\D.bat
    c:\windows\system32\ysVXm\k.x
    c:\windows\system32\ysVXm\S002.exe
    c:\windows\system32\YvlZb
    c:\windows\system32\YvlZb\0001.exe
    c:\windows\system32\YvlZb\00010.exe
    c:\windows\system32\YvlZb\00015.exe
    c:\windows\system32\YvlZb\k.x
    c:\windows\system32\ZJsJv
    c:\windows\system32\ZJsJv\00016.exe
    c:\windows\system32\ZJsJv\k.x
    c:\windows\system32\ZJsJv\S002.exe
    c:\windows\system32\zPguc
    c:\windows\system32\zPguc\k.x
    c:\windows\system32\ZSDrh
    c:\windows\system32\ZSDrh\k.x
    c:\windows\system32\ZSPkl
    c:\windows\system32\ZSPkl\k.x
    c:\windows\system32\ZXYpm
    c:\windows\system32\ZXYpm\k.x
    c:\windows\system32\ZYRSh
    c:\windows\system32\ZYRSh\k.x

    .
    ((((((((((((((((((((((((( Files Created from 2008-12-20 to 2009-01-20 )))))))))))))))))))))))))))))))
    .

    2009-01-20 11:07 . 2009-01-20 11:07 <DIR> d-------- c:\windows\ERUNT
    2009-01-20 11:02 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
    2009-01-19 18:14 . 2009-01-19 18:14 <DIR> d-------- c:\documents and settings\User\DoctorWeb
    2009-01-19 14:42 . 2009-01-19 14:42 <DIR> d-------- C:\rsit
    2009-01-19 14:42 . 2009-01-19 14:42 <DIR> d-------- c:\program files\trend micro
    2009-01-19 14:00 . 2009-01-19 14:00 <DIR> d-------- c:\windows\system32\exsxL
    2009-01-19 13:59 . 2009-01-19 13:59 <DIR> d-------- c:\windows\system32\sDJxC
    2009-01-19 12:56 . 2009-01-19 12:56 <DIR> d-------- c:\documents and settings\User\Application Data\CyberLink
    2009-01-19 12:55 . 2009-01-19 12:55 <DIR> d-------- c:\documents and settings\All Users\Application Data\CyberLink
    2009-01-19 12:54 . 2009-01-19 18:02 226 --a------ c:\windows\system32\vaojsu.key
    2009-01-19 11:40 . 2009-01-19 11:40 <DIR> d-------- c:\windows\system32\ibtuA
    2009-01-19 11:37 . 2009-01-19 11:37 <DIR> d-------- c:\windows\system32\wIuxe
    2009-01-19 11:36 . 2009-01-19 11:36 <DIR> d-------- c:\windows\system32\ixzWv
    2009-01-19 11:34 . 2009-01-19 11:34 <DIR> d-------- c:\windows\system32\TUupP
    2009-01-19 11:34 . 2009-01-19 11:34 <DIR> d-------- c:\windows\system32\HHLid
    2009-01-19 11:33 . 2009-01-19 11:33 <DIR> d-------- c:\windows\system32\pdgcA
    2009-01-19 11:31 . 2009-01-19 11:31 <DIR> d-------- c:\windows\system32\fJUOj
    2009-01-19 11:31 . 2009-01-19 11:32 <DIR> d-------- c:\windows\system32\dqphz
    2009-01-19 11:27 . 2009-01-19 11:27 <DIR> d-------- c:\windows\system32\NHKBB
    2009-01-19 11:23 . 2009-01-19 11:23 <DIR> d-------- c:\windows\system32\SDbiV
    2009-01-19 11:21 . 2009-01-19 11:21 <DIR> d-------- c:\windows\system32\QRhKB
    2009-01-19 11:21 . 2009-01-19 23:24 28,672 --a------ c:\windows\system32\RemoteStorage.dll
    2009-01-19 11:21 . 2009-01-19 11:21 1 --a------ c:\windows\system32\000632c4.ini
    2009-01-19 11:20 . 2009-01-19 11:20 <DIR> d-------- c:\windows\system32\ZLabD
    2009-01-19 11:19 . 2009-01-19 11:19 <DIR> d-------- c:\windows\system32\zqFeC
    2009-01-19 11:19 . 2009-01-19 11:19 <DIR> d-------- c:\windows\system32\PkNRT
    2009-01-19 11:18 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\jhmcP
    2009-01-19 11:18 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\IyVKV
    2009-01-19 11:17 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\MixkS
    2009-01-19 11:17 . 2009-01-19 11:17 <DIR> d-------- c:\windows\system32\JeJxJ
    2009-01-19 11:16 . 2009-01-19 11:16 <DIR> d-------- c:\windows\system32\NDhBy
    2009-01-19 11:15 . 2009-01-19 11:15 <DIR> d-------- c:\windows\system32\nrCQS
    2009-01-19 11:14 . 2009-01-19 11:14 <DIR> d-------- c:\windows\system32\IRqui
    2009-01-19 11:12 . 2009-01-19 11:12 <DIR> d-------- c:\windows\system32\IETQP
    2009-01-19 11:11 . 2009-01-19 11:11 <DIR> d-------- c:\windows\system32\pfcle
    2009-01-19 11:08 . 2009-01-19 11:08 <DIR> d-------- c:\windows\system32\SIeoF
    2009-01-19 11:08 . 2009-01-19 11:08 <DIR> d-------- c:\windows\system32\joeof
    2009-01-19 11:07 . 2009-01-19 11:07 <DIR> d-------- c:\windows\system32\PeCar
    2009-01-19 11:06 . 2009-01-19 11:06 <DIR> d-------- c:\windows\system32\Ipeoc
    2009-01-19 11:05 . 2009-01-19 11:05 <DIR> d-------- c:\windows\system32\qCgZn
    2009-01-18 19:20 . 2009-01-18 19:20 79,422 --a------ c:\windows\system32\%LocalXml%
    2009-01-18 19:11 . 2009-01-18 19:11 <DIR> d-------- c:\windows\system32\BUIXO
    2009-01-18 19:03 . 2009-01-18 19:03 <DIR> d-------- c:\windows\system32\joeIz
    2009-01-18 14:56 . 2009-01-18 14:56 <DIR> d-------- c:\windows\system32\IJGJf
    2009-01-18 14:55 . 2009-01-18 14:55 <DIR> d-------- c:\windows\system32\ilEPz
    2009-01-18 14:54 . 2009-01-18 14:54 <DIR> d-------- c:\windows\system32\SIDKU
    2009-01-18 14:54 . 2009-01-18 14:54 <DIR> d-------- c:\windows\system32\jcraT
    2009-01-18 14:53 . 2009-01-18 14:53 <DIR> d-------- c:\windows\system32\noDea
    2009-01-18 14:51 . 2009-01-18 14:51 <DIR> d-------- c:\windows\system32\MtCIL
    2009-01-18 14:50 . 2009-01-18 14:50 <DIR> d-------- c:\windows\system32\MUNMP
    2009-01-18 14:49 . 2009-01-18 14:49 <DIR> d-------- c:\windows\system32\NLQro
    2009-01-18 14:49 . 2009-01-18 14:49 <DIR> d-------- c:\windows\system32\KEgL
    2009-01-18 14:48 . 2009-01-18 14:48 <DIR> d-------- c:\windows\system32\JhnPr
    2009-01-18 13:24 . 2009-01-18 13:24 <DIR> d-------- c:\windows\system32\SiMTF
    2009-01-18 13:21 . 2009-01-18 13:21 96,976 --a------ c:\windows\system32\drivers\klin.dat
    2009-01-18 13:21 . 2009-01-18 13:21 87,855 --a------ c:\windows\system32\drivers\klick.dat
    2009-01-18 13:20 . 2009-01-18 13:20 <DIR> d-------- c:\program files\Kaspersky Lab
    2009-01-18 13:20 . 2009-01-18 13:20 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab
    2009-01-18 13:20 . 2009-01-20 12:46 164,896 --ahs---- c:\windows\system32\drivers\fidbox.dat
    2009-01-18 13:20 . 2009-01-20 12:46 32,800 --ahs---- c:\windows\system32\drivers\fidbox2.dat
    2009-01-18 13:20 . 2009-01-20 12:46 3,416 --ahs---- c:\windows\system32\drivers\fidbox.idx
    2009-01-18 13:20 . 2009-01-20 12:46 1,192 --ahs---- c:\windows\system32\drivers\fidbox2.idx
    2009-01-18 13:16 . 2009-01-18 13:16 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
    2009-01-18 12:45 . 2009-01-18 12:45 1,905 --a------ c:\windows\diagwrn.xml
    2009-01-18 12:45 . 2009-01-18 12:45 1,905 --a------ c:\windows\diagerr.xml
    2009-01-18 12:25 . 2009-01-18 12:25 <DIR> dr------- c:\documents and settings\LocalService\Избранное
    2009-01-17 22:12 . 2009-01-19 18:09 4,224 --a------ c:\windows\system32\drivers\beep.sys
    2009-01-17 22:12 . 2009-01-19 18:09 4,224 --a------ c:\windows\system32\dllcache\beep.sys
    2009-01-16 16:25 . 2009-01-16 16:25 <DIR> d--hs---- C:\FOUND.002
    2009-01-16 14:26 . 2009-01-16 14:26 <DIR> d-------- c:\windows\system32\CatRoot_bak
    2009-01-15 23:28 . 2009-01-15 23:28 <DIR> d-------- c:\program files\MSXML 6.0
    2009-01-15 23:27 . 2009-01-15 23:27 <DIR> d-------- c:\program files\MSXML 4.0
    2009-01-15 15:58 . 2009-01-15 15:58 <DIR> d-------- C:\downloads
    2009-01-15 15:58 . 2009-01-15 15:58 <DIR> d-------- c:\documents and settings\User\Application Data\GrabPro
    2009-01-15 15:57 . 2009-01-15 15:57 <DIR> d-------- c:\program files\Orbitdownloader
    2009-01-15 15:57 . 2009-01-15 15:57 <DIR> d-------- c:\documents and settings\User\Application Data\Orbit
    2009-01-15 15:17 . 2009-01-15 15:17 <DIR> d-------- c:\windows\system32\Performance
    2009-01-15 15:17 . 2009-01-15 15:17 34,304 --a------ c:\windows\system32\Ntsvc.ocx
    2009-01-15 15:16 . 2009-01-15 15:16 <DIR> d-------- c:\windows\system32\MSN
    2009-01-15 12:11 . 2008-06-14 20:59 272,512 --------- c:\windows\system32\drivers\bthport.sys
    2009-01-15 12:11 . 2008-06-14 20:59 272,512 --------- c:\windows\system32\dllcache\bthport.sys
    2009-01-15 12:09 . 2008-08-14 16:47 2,182,144 --------- c:\windows\system32\dllcache\ntoskrnl.exe
    2009-01-15 12:09 . 2008-08-14 16:47 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
    2009-01-15 12:09 . 2008-08-14 16:47 2,059,520 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
    2009-01-15 12:09 . 2008-08-14 16:47 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe
    2009-01-15 12:08 . 2008-10-24 14:25 455,936 --------- c:\windows\system32\dllcache\mrxsmb.sys
    2009-01-15 12:05 . 2009-01-15 12:06 <DIR> d--h----- c:\windows\$hf_mig$
    2009-01-15 00:07 . 2009-01-15 00:07 <DIR> d-------- c:\windows\FLV Player
    2009-01-15 00:07 . 2009-01-15 00:07 <DIR> d-------- c:\program files\FLV Player
    2009-01-14 23:47 . 2009-01-14 23:47 <DIR> d-------- c:\program files\MSECache
    2009-01-14 23:37 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
    2009-01-14 23:37 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
    2009-01-14 23:37 . 2008-10-16 14:07 23,576 --a------ c:\windows\system32\wuaucpl.cpl.mui
    2009-01-14 23:37 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
    2009-01-14 23:35 . 2004-12-28 18:58 26,368 --a------ c:\windows\system32\dllcache\usbstor.sys
    2009-01-14 15:40 . 2009-01-19 12:56 69 --a------ c:\windows\NeroDigital.ini
    2009-01-14 15:25 . 2009-01-14 15:25 <DIR> d-------- c:\documents and settings\User\Phone Browser
    2009-01-14 15:25 . 2009-01-14 15:25 <DIR> d-------- c:\documents and settings\User\Application Data\Datalayer
    2009-01-14 15:24 . 2009-01-14 15:24 <DIR> d-------- c:\documents and settings\User\Application Data\Nokia
    2009-01-14 15:21 . 2009-01-14 15:21 <DIR> d--hs---- C:\FOUND.001
    2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\program files\Common Files\PCSuite
    2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\program files\Common Files\Nokia
    2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\documents and settings\User\Application Data\PC Suite
    2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\PC Suite
    2009-01-14 15:13 . 2006-05-29 08:26 13,312 --a------ c:\windows\system32\drivers\nmwcdcm.sys
    2009-01-14 15:13 . 2006-05-29 08:26 8,704 --a------ c:\windows\system32\drivers\nmwcdc.sys
    2009-01-14 15:11 . 2009-01-14 15:11 <DIR> d-------- c:\windows\system32\DRVSTORE
    2009-01-14 15:11 . 2006-05-29 08:26 127,488 --a------ c:\windows\system32\drivers\nmwcd.sys
    2009-01-14 15:11 . 2006-05-29 08:26 30,720 --a------ c:\windows\system32\nmwcdcocls.dll
    2009-01-14 15:11 . 2006-05-29 08:26 4,608 --a------ c:\windows\system32\nmwcdlog.dll
    2009-01-14 15:10 . 2009-01-14 15:10 <DIR> d-------- c:\program files\Nokia
    2009-01-14 15:10 . 2006-05-29 08:26 50,688 --a------ c:\windows\system32\nmwcdcls.dll
    2009-01-14 15:09 . 2009-01-14 15:09 <DIR> d-------- c:\documents and settings\All Users\Application Data\Downloaded Installations
    2009-01-14 15:08 . 2009-01-14 15:08 <DIR> d--hs---- c:\windows\ftpcache
    2009-01-13 15:43 . 2001-10-20 15:00 103,424 --a------ c:\windows\system32\dllcache\eqnclass.dll
    2009-01-13 15:43 . 2001-10-20 15:00 85,532 --a------ c:\windows\system32\dllcache\dgsetup.dll
    2009-01-13 15:43 . 2004-08-17 17:04 8,704 --a------ c:\windows\system32\dllcache\batt.dll
    2009-01-13 14:42 . 2009-01-13 14:42 <DIR> d-------- c:\program files\ESET
    2009-01-13 14:32 . 2009-01-13 14:32 <DIR> d--hs---- C:\Recycled
    2009-01-13 14:27 . 2009-01-13 14:27 <DIR> d-------- c:\documents and settings\User\Application Data\Corel
    2009-01-13 14:27 . 2009-01-13 14:27 848 --ahs---- c:\windows\system32\KGyGaAvL.sys
    2009-01-13 14:24 . 2009-01-13 14:24 <DIR> d-------- c:\documents and settings\User\Application Data\ACD Systems
    2009-01-13 14:20 . 2009-01-13 14:20 410,984 --a------ c:\windows\system32\deploytk.dll
    2009-01-13 14:20 . 2009-01-13 14:20 73,728 --a------ c:\windows\system32\javacpl.cpl
    2009-01-13 14:12 . 2009-01-13 14:12 <DIR> d--hs---- C:\FOUND.000

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-01-13 09:54 25,992 ----a-w c:\windows\system32\pgdfgsvc.exe
    2009-01-13 09:53 --------- d-----w c:\program files\Unlocker
    2009-01-13 09:53 --------- d-----w c:\program files\Uninstall Tool
    2009-01-13 09:53 --------- d-----w c:\program files\System information for Windows
    2009-01-13 09:53 --------- d-----w c:\program files\SysInternals
    2009-01-13 09:53 --------- d-----w c:\program files\Scanner
    2009-01-13 09:53 --------- d-----w c:\program files\GameXP
    2009-01-13 09:53 --------- d-----w c:\program files\Foxit Reader
    2009-01-13 09:53 --------- d-----w c:\program files\CCleaner
    2008-12-12 17:29 3,088,384 ----a-w c:\windows\system32\dllcache\mshtml.dll
    2008-12-11 10:24 333,184 ----a-w c:\windows\system32\drivers\srv.sys
    2008-12-11 10:24 333,184 ----a-w c:\windows\system32\dllcache\srv.sys
    2008-11-11 17:00 218,376 ----a-w c:\windows\system32\klogon.dll
    2008-10-23 12:52 284,160 ----a-w c:\windows\system32\gdi32.dll
    2008-10-23 12:52 284,160 ----a-w c:\windows\system32\dllcache\gdi32.dll
    2008-09-30 21:00 718,336 ---h--r c:\program files\reat.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2009-01-20_ 1.08.23.59 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-08-07 12:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
    + 2009-01-20 08:07:46 2,105,344 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
    + 2009-01-20 08:07:46 159,744 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    + 2008-08-07 12:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2009-01-20 08:07:36 2,105,344 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
    + 2009-01-20 08:07:36 159,744 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    + 2009-01-20 09:51:22 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_170.dat
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
    "PcSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
    "CoolSwitch"="c:\windows\system32\TaskSwitch.exe" [2005-12-22 45632]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-13 136600]
    "PCSuiteTrayApplication"="d:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
    "AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-11-11 206088]
    "SoundMan"="SOUNDMAN.EXE" [2006-03-02 c:\windows\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [2005-04-01 c:\windows\system32\nwiz.exe]

    c:\documents and settings\User\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
    Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    HDDlife.lnk - d:\program files\BinarySense\HDDlife\HDDlifePro.exe [2005-07-07 1299316]

    c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
    “бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696]
    Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2009-01-15 1690824]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "Start_NotifyNewApps"= 0 (0x0)
    "NoSMConfigurePrograms"= 0 (0x0)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "Start_NotifyNewApps"= 0 (0x0)
    "NoSMConfigurePrograms"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.X264"= x264vfw.dll
    "VIDC.DIV3"= DivXc32.dll
    "VIDC.DIV4"= DivXc32f.dll
    "VIDC.3iv2"= 3ivxVfWCodec.dll
    "VIDC.HFYU"= huffyuv.dll
    "vidc.i263"= i263_32.drv
    "VIDC.VP31"= vp31vfw.dll
    "VIDC.MPG4"= msmpeg4.dll
    "VIDC.MP42"= msmpeg4.dll
    "VIDC.MP43"= msmpeg4.dll
    "msacm.l3fhg"= mp3fhg.acm
    "msacm.divxa32"= divxa32.acm
    "msacm.imc"= imc32.acm

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0pgdfgsvc C 1

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    R0 a348bus;a348bus;c:\windows\system32\drivers\a348bus.sys [2009-01-13 160640]
    R0 a348scsi;a348scsi;c:\windows\system32\drivers\a348scsi.sys [2009-01-13 5248]
    R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
    R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [2009-01-13 15872]
    R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    svchost.exe REG_MULTI_SZ svchost.exe
    .
    .
    ------- Supplementary Scan -------
    .
    uStart Page = hxxp://search.orbitdownloader.com
    IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
    IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
    IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
    IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-01-20 13:07:57
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2009-01-20 13:09:59
    ComboFix-quarantined-files.txt 2009-01-20 10:09:56
    ComboFix2.txt 2009-01-19 22:15:26

    Pre-Run: 13,697,892,352 байт свободно
    Post-Run: 13,672,415,232 байт свободно

    632 --- E O F --- 2009-01-15 20:31:00
     
  10. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Присылаю RSIT, там всё-равно папки остались
     
  11. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    File::
    c:\program files\reat.exe
    Folder::
    C:\WINDOWS\system32\exsxL
    C:\WINDOWS\system32\sDJxC
    C:\WINDOWS\system32\ibtuA
    C:\WINDOWS\system32\wIuxe
    C:\WINDOWS\system32\ixzWv
    C:\WINDOWS\system32\TUupP
    C:\WINDOWS\system32\HHLid
    C:\WINDOWS\system32\pdgcA
    C:\WINDOWS\system32\dqphz
    C:\WINDOWS\system32\fJUOj
    C:\WINDOWS\system32\NHKBB
    C:\WINDOWS\system32\SDbiV
    C:\WINDOWS\system32\QRhKB
    C:\WINDOWS\system32\ZLabD
    C:\WINDOWS\system32\PkNRT
    C:\WINDOWS\system32\zqFeC
    C:\WINDOWS\system32\jhmcP
    C:\WINDOWS\system32\IyVKV
    C:\WINDOWS\system32\MixkS
    C:\WINDOWS\system32\JeJxJ
    C:\WINDOWS\system32\NDhBy
    C:\WINDOWS\system32\nrCQS
    C:\WINDOWS\system32\IRqui
    C:\WINDOWS\system32\IETQP
    C:\WINDOWS\system32\pfcle
    C:\WINDOWS\system32\SIeoF
    C:\WINDOWS\system32\joeof
    C:\WINDOWS\system32\PeCar
    C:\WINDOWS\system32\Ipeoc
    C:\WINDOWS\system32\qCgZn
    C:\WINDOWS\system32\BUIXO
    C:\WINDOWS\system32\joeIz
    C:\WINDOWS\system32\IJGJf
    C:\WINDOWS\system32\ilEPz
    C:\WINDOWS\system32\jcraT
    C:\WINDOWS\system32\SIDKU
    C:\WINDOWS\system32\noDea
    C:\WINDOWS\system32\MtCIL
    C:\WINDOWS\system32\MUNMP
    C:\WINDOWS\system32\KEgL
    C:\WINDOWS\system32\NLQro
    C:\WINDOWS\system32\JhnPr
    C:\WINDOWS\system32\SiMTF
    FileLook::
    C:\WINDOWS\system32\RemoteStorage.dll
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  12. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Malwarebytes' Anti-Malware 1.33
    Версия базы данных: 1668
    Windows 5.1.2600 Service Pack 2

    20.01.2009 15:19:22
    mbam-log-2009-01-20 (15-19-22).txt

    Тип проверки: Полная (C:\|D:\|)
    Проверено объектов: 134817
    Прошло времени: 1 hour(s), 12 minute(s), 0 second(s)

    Заражено процессов в памяти: 0
    Заражено модулей в памяти: 0
    Заражено ключей реестра: 0
    Заражено значений реестра: 0
    Заражено параметров реестра: 0
    Заражено папок: 0
    Заражено файлов: 0

    Заражено процессов в памяти:
    (Вредоносные программы не обнаружены)

    Заражено модулей в памяти:
    (Вредоносные программы не обнаружены)

    Заражено ключей реестра:
    (Вредоносные программы не обнаружены)

    Заражено значений реестра:
    (Вредоносные программы не обнаружены)

    Заражено параметров реестра:
    (Вредоносные программы не обнаружены)

    Заражено папок:
    (Вредоносные программы не обнаружены)

    Заражено файлов:
    (Вредоносные программы не обнаружены)
     
  13. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Дальше чё делать надо?
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):
    File::
    c:\windows\system32\vaojsu.key
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Какие проблемы еще наблюдаются?
     
  15. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Спасибо огромное всё, вроде, удалилось. Ко мне тут кто-то хотел залесть, каспер выдал прогу asterisks xp. Не подскажите, мне нод 32 больше нравиться, он от этих вирусников сможет защитить, я его каждый час обновляю?
     
  16. antispy
    Оффлайн

    antispy Активный пользователь

    Сообщения:
    107
    Симпатии:
    450
    У Вас касперский какой КАВ или КИС?
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Если ставите заплатки и ходите по возможности под ограниченым юзверем....да.

    Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (с указанной ссылкой на тему. (at=@)

    Деинсталлируйте ComboFix: нажмите пусквыполнить - Combofix /u

    Скачайте OTCleanIt, запустите, нажмите Clean up
     
  18. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Каспер КИС. Он комп тормозит.
     
  19. vovo2005
    Оффлайн

    vovo2005 Активный пользователь

    Сообщения:
    15
    Симпатии:
    0
    Почему-то запакованные файлы не хотят отпраляться.
     
  20. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Какой размер файлов?

    С выходом версии линейка 2009 с этим проблемы не наблюдаю :soldier:
     
Статус темы:
Закрыта.

Поделиться этой страницей