Решена Важно!!!! Заполонили вирусы!!!!

[vovo2005]

У меня был антивирусник nod 32, постоянно обновлял. Затем система начала показывать какие-то ошибки типа "win 32 не является приложением системы" и находилась в system 32. Как оказалось-это трояны и вирусы, причём их удаляешь, а после того как выходишь в инет или заново включаешь комп они опять появляются . Я удалил нод и установил нового каспера, он выдавал теже самые ошибки, удалял вирусы и трояны, но они опять и опять появляются такие как:
19.01.2009 11:06:55 http://world.zavan.info/scanner.exe SMSS.EXE Запрещено: Trojan.Win32.Agent2.bj
19.01.2009 14:26:10 C:\WINDOWS\system32\LJfcT\000.exe Неизвестное приложение Удалено: Backdoor.Win32.SdBot.jpn
19.01.2009 14:25:59 C:\WINDOWS\system32\KDPrV\S001.exe Неизвестное приложение Удалено: Trojan-Downloader.Win32.Murlo.pm
19.01.2009 14:25:59 C:\WINDOWS\system32\KDPrV\005.exe Неизвестное приложение Удалено: Packed.Win32.Krap.c
19.01.2009 14:25:47 C:\WINDOWS\Temp\IXP001.TMP\nbsv.exe Неизвестное приложение Удалено: Trojan-Downloader.Win32.Agent.avwx
19.01.2009 14:23:05 C:\WINDOWS\Temp\IXP001.TMP\nbsv.exe 00016.EXE Удалено: Trojan-Downloader.Win32.Agent.avwx
18.01.2009 14:56:47 D:\Программы\Vkontakte.exe Проводник Не вылечено: HackTool.Win32.BruteForce.ad Пропущено пользователем
18.01.2009 14:56:43 C:\WINDOWS\system32\IJGJf\S001.exe Программа передачи файлов (FTP) Удалено: Backdoor.Win32.Hupigon.foaa
18.01.2009 14:55:05 D:\Программы\Vkontakte.exe Проводник Не вылечено: HackTool.Win32.BruteForce.ad Пропущено пользователем

Из-за них комп тормозит и в инет не вылезишь, они опять начинают появляться.
Помогите удалить их и что бы они больше не появлялись!!!! pleas!!! ОЧЕНЬ СРОЧНО НАДО!!!!

 

[antispy]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0125213.exe','');
 QuarantineFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0118969.exe','');
 QuarantineFile('D:\System Volume Information\_restore{185F5BFF-CD21-4146-A821-849F284773A4}\RP25\A0026855.exe','');
 QuarantineFile('C:\WINDOWS\system32\oaVWe\S002.exe','');
 DeleteFile('D:\System Volume Information\_restore{185F5BFF-CD21-4146-A821-849F284773A4}\RP25\A0026855.exe');
 DeleteFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0118969.exe');
 DeleteFile('D:\System Volume Information\_restore{3370AD23-9D60-43E5-A658-39C0ED50C9D3}\RP104\A0125213.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания прикрепите файл C:\Report.txt к сообщению
Описание SDFix есть Бесплатная утилита SDFix

 

[vovo2005]

Большое спасибо, всё получилось!!! У меня там ещё программы взломщики были, они тоже удалились?

 

[akok]

Большое спасибо, всё получилось!!! У меня там ещё программы взломщики были, они тоже удалились?

Нет, но скорее всего HackTool будут удалены SDFix или ComboFix. Если они не возьмут уберем AVZ.

P>S> Обычно подобные утилиты имеют закладки с вредоносными программами.

 

[vovo2005]

Высылаю что просили+RSIT:

 

[antispy]

Папки вида c:\windows\system32\zPguc не вы случаем создавали?

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\scvhost.exe',' ');
 DeleteFile('c:\windows\system32\scvhost.exe');
 BC_ImportAll;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 SaveLog(GetAVZDirectory+'avzlog.txt');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus-antispy<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.


Предыдущий карантин отправил аналитикам для разбора, там есть интересный файл

 

[vovo2005]

Нееее, такую фигню я не делал))

 

[akok]

Вижу работающие службы KasperskyAntiVirus

Папки вида c:\windows\system32\zPguc не вы случаем создавали?

Если нет, то выполните действия предложенные ниже.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::

Driver::

Folder::
c:\windows\system32\zPguc
c:\windows\system32\pYBHF
c:\windows\system32\CTzbG
c:\windows\system32\azFqX
c:\windows\system32\YvlZb
c:\windows\system32\THcdV
c:\windows\system32\JlTou
c:\windows\system32\BTipZ
c:\windows\system32\xfqrS
c:\windows\system32\Ufxdo
c:\windows\system32\ftkof
c:\windows\system32\axcud
c:\windows\system32\ZYRSh
c:\windows\system32\ZSPkl
c:\windows\system32\lZPil
c:\windows\system32\ExoaN
c:\windows\system32\WLajY
c:\windows\system32\RvJDQ
c:\windows\system32\Jtek
c:\windows\system32\VdKHW
c:\windows\system32\QUljr
c:\windows\system32\QoOdz
c:\windows\system32\LPjSp
c:\windows\system32\UReQ
c:\windows\system32\ftUGU
c:\windows\system32\DOfU
c:\windows\system32\DleuA
c:\windows\system32\yRbWv
c:\windows\system32\gTCJU
c:\windows\system32\BozcR
c:\windows\system32\ZXYpm
c:\windows\system32\vsbHo
c:\windows\system32\JVDVG
c:\windows\system32\ISDpt
c:\windows\system32\UYUvZ
c:\windows\system32\RGtsD
c:\windows\system32\AASdk
c:\windows\system32\oFZHw
c:\windows\system32\ffgur
c:\windows\system32\EDEWm
c:\windows\system32\puubT
c:\windows\system32\JHhCU
c:\windows\system32\DCExf
c:\windows\system32\akUOk
c:\windows\system32\MvhbP
c:\windows\system32\BBZSt
c:\windows\system32\XTIGX
c:\windows\system32\LJfcT
c:\windows\system32\gBJFw
c:\windows\msdownld.tmp
c:\windows\system32\KDPrV
c:\windows\system32\GrkWu
c:\windows\system32\ysVXm
c:\windows\system32\QOmJZ
c:\windows\system32\mNuIp
c:\windows\system32\kOwU
c:\windows\system32\NVJxO
c:\windows\system32\ILbZf
c:\windows\system32\fbNeL
c:\windows\system32\EGhQ
c:\windows\system32\tsbam
c:\windows\system32\evDYF
c:\windows\system32\clVWH
c:\windows\system32\sguMA
c:\windows\system32\hqHHy
c:\windows\system32\FxrHu
c:\windows\system32\XnLBu
c:\windows\system32\SIOYg
c:\windows\system32\QsEor
c:\windows\system32\cuFSw
c:\windows\system32\TnNVD
c:\windows\system32\hdoRj
c:\windows\system32\fchEQ
c:\windows\system32\HhqsD
c:\windows\system32\FoOGr
c:\windows\system32\WpHvk
c:\windows\system32\iHWzl
c:\windows\system32\UCFUB
c:\windows\system32\tcYpn
c:\windows\system32\VnvJv
c:\windows\system32\nOBET
c:\windows\system32\LwpJN
c:\windows\system32\kVbj
c:\windows\system32\JwcWV
c:\windows\system32\iXnhO
c:\windows\system32\xIlGj
c:\windows\system32\gqaho
c:\windows\system32\rlhfL
c:\windows\system32\KkpgB
c:\windows\system32\cgOwi
c:\windows\system32\QVaLc
c:\windows\system32\gsGMF
c:\windows\system32\gOycW
c:\windows\system32\ZSDrh
c:\windows\system32\uQeGh
c:\windows\system32\StaV
c:\windows\system32\PJrey
c:\windows\system32\lrnMR
c:\windows\system32\cyjrw
c:\windows\system32\OmtMh
c:\windows\system32\LRRan
c:\windows\system32\WTNEC
c:\windows\system32\vrrpW
c:\windows\system32\UiFRi
c:\windows\system32\qJhaR
c:\windows\system32\YDZGW
c:\windows\system32\WRVKY
c:\windows\system32\fkGpK
c:\windows\system32\wZQAX
c:\windows\system32\qJUHD
c:\windows\system32\oaVWe
c:\windows\system32\FCrBX
c:\windows\system32\PxWAx
c:\windows\system32\ibNRu
c:\windows\system32\GYbDP
c:\windows\system32\AzUvJ
c:\windows\system32\weQnX
c:\windows\system32\Cspzk
c:\windows\system32\BBeIv
c:\windows\system32\ZJsJv
c:\windows\system32\rHUjf
c:\windows\system32\Igref
Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[vovo2005]

ComboFix 09-01-19.01 - User 2009-01-20 13:02:56.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.255.88 [GMT 3:00]
Running from: c:\documents and settings\User\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\User\Рабочий стол\CFScript.txt
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)
FW: Kaspersky Internet Security *disabled*
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\msdownld.tmp
c:\windows\system32\AASdk
c:\windows\system32\AASdk\k.x
c:\windows\system32\akUOk
c:\windows\system32\akUOk\k.x
c:\windows\system32\axcud
c:\windows\system32\axcud\k.x
c:\windows\system32\azFqX
c:\windows\system32\azFqX\k.x
c:\windows\system32\AzUvJ
c:\windows\system32\AzUvJ\00016.exe
c:\windows\system32\AzUvJ\k.x
c:\windows\system32\AzUvJ\S002.exe
c:\windows\system32\BBeIv
c:\windows\system32\BBeIv\k.x
c:\windows\system32\BBZSt
c:\windows\system32\BBZSt\00010.exe
c:\windows\system32\BBZSt\k.x
c:\windows\system32\BBZSt\S002.exe
c:\windows\system32\BozcR
c:\windows\system32\BozcR\k.x
c:\windows\system32\BTipZ
c:\windows\system32\BTipZ\k.x
c:\windows\system32\cgOwi
c:\windows\system32\cgOwi\k.x
c:\windows\system32\clVWH
c:\windows\system32\clVWH\k.x
c:\windows\system32\Cspzk
c:\windows\system32\Cspzk\00016.exe
c:\windows\system32\Cspzk\k.x
c:\windows\system32\Cspzk\S002.exe
c:\windows\system32\CTzbG
c:\windows\system32\CTzbG\k.x
c:\windows\system32\cuFSw
c:\windows\system32\cuFSw\00010.exe
c:\windows\system32\cuFSw\00016.exe
c:\windows\system32\cuFSw\k.x
c:\windows\system32\cuFSw\S002.exe
c:\windows\system32\cyjrw
c:\windows\system32\cyjrw\k.x
c:\windows\system32\DCExf
c:\windows\system32\DCExf\k.x
c:\windows\system32\DleuA
c:\windows\system32\DleuA\k.x
c:\windows\system32\DOfU
c:\windows\system32\DOfU\k.x
c:\windows\system32\EDEWm
c:\windows\system32\EDEWm\k.x
c:\windows\system32\EGhQ
c:\windows\system32\EGhQ\k.x
c:\windows\system32\evDYF
c:\windows\system32\evDYF\00010.exe
c:\windows\system32\evDYF\00016.exe
c:\windows\system32\evDYF\D.bat
c:\windows\system32\evDYF\k.x
c:\windows\system32\evDYF\S002.exe
c:\windows\system32\ExoaN
c:\windows\system32\ExoaN\0001.exe
c:\windows\system32\ExoaN\00010.exe
c:\windows\system32\ExoaN\k.x
c:\windows\system32\ExoaN\S002.exe
c:\windows\system32\fbNeL
c:\windows\system32\fbNeL\00010.exe
c:\windows\system32\fbNeL\00016.exe
c:\windows\system32\fbNeL\0003.exe
c:\windows\system32\fbNeL\D.bat
c:\windows\system32\fbNeL\k.x
c:\windows\system32\fbNeL\S002.exe
c:\windows\system32\fchEQ
c:\windows\system32\fchEQ\00010.exe
c:\windows\system32\fchEQ\00016.exe
c:\windows\system32\fchEQ\0003.exe
c:\windows\system32\fchEQ\k.x
c:\windows\system32\fchEQ\S002.exe
c:\windows\system32\FCrBX
c:\windows\system32\FCrBX\00016.exe
c:\windows\system32\FCrBX\0006.exe
c:\windows\system32\FCrBX\k.x
c:\windows\system32\FCrBX\S002.exe
c:\windows\system32\ffgur
c:\windows\system32\ffgur\k.x
c:\windows\system32\fkGpK
c:\windows\system32\fkGpK\k.x
c:\windows\system32\FoOGr
c:\windows\system32\FoOGr\k.x
c:\windows\system32\ftkof
c:\windows\system32\ftkof\k.x
c:\windows\system32\ftUGU
c:\windows\system32\ftUGU\k.x
c:\windows\system32\FxrHu
c:\windows\system32\FxrHu\k.x
c:\windows\system32\gBJFw
c:\windows\system32\gBJFw\k.x
c:\windows\system32\gOycW
c:\windows\system32\gOycW\00016.exe
c:\windows\system32\gOycW\k.x
c:\windows\system32\gOycW\S002.exe
c:\windows\system32\gqaho
c:\windows\system32\gqaho\k.x
c:\windows\system32\GrkWu
c:\windows\system32\GrkWu\k.x
c:\windows\system32\gsGMF
c:\windows\system32\gsGMF\k.x
c:\windows\system32\gTCJU
c:\windows\system32\gTCJU\00010.exe
c:\windows\system32\gTCJU\0002.exe
c:\windows\system32\gTCJU\k.x
c:\windows\system32\gTCJU\S002.exe
c:\windows\system32\GYbDP
c:\windows\system32\GYbDP\k.x
c:\windows\system32\hdoRj
c:\windows\system32\hdoRj\k.x
c:\windows\system32\HhqsD
c:\windows\system32\HhqsD\00010.exe
c:\windows\system32\HhqsD\00016.exe
c:\windows\system32\HhqsD\0003.exe
c:\windows\system32\HhqsD\k.x
c:\windows\system32\HhqsD\S002.exe
c:\windows\system32\hqHHy
c:\windows\system32\hqHHy\00010.exe
c:\windows\system32\hqHHy\00016.exe
c:\windows\system32\hqHHy\0003.exe
c:\windows\system32\hqHHy\D.bat
c:\windows\system32\hqHHy\k.x
c:\windows\system32\hqHHy\S002.exe
c:\windows\system32\ibNRu
c:\windows\system32\ibNRu\k.x
c:\windows\system32\Igref
c:\windows\system32\Igref\k.x
c:\windows\system32\iHWzl
c:\windows\system32\iHWzl\k.x
c:\windows\system32\ILbZf
c:\windows\system32\ILbZf\k.x
c:\windows\system32\ISDpt
c:\windows\system32\ISDpt\k.x
c:\windows\system32\iXnhO
c:\windows\system32\iXnhO\00016.exe
c:\windows\system32\iXnhO\k.x
c:\windows\system32\iXnhO\S002.exe
c:\windows\system32\JHhCU
c:\windows\system32\JHhCU\00010.exe
c:\windows\system32\JHhCU\k.x
c:\windows\system32\JHhCU\S002.exe
c:\windows\system32\JlTou
c:\windows\system32\JlTou\k.x
c:\windows\system32\Jtek
c:\windows\system32\Jtek\k.x
c:\windows\system32\JVDVG
c:\windows\system32\JVDVG\k.x
c:\windows\system32\JVDVG\S002.exe
c:\windows\system32\JwcWV
c:\windows\system32\JwcWV\k.x
c:\windows\system32\KDPrV
c:\windows\system32\KDPrV\0001.exe
c:\windows\system32\KDPrV\00010.exe
c:\windows\system32\KDPrV\00016.exe
c:\windows\system32\KDPrV\0002.exe
c:\windows\system32\KDPrV\0003.exe
c:\windows\system32\KDPrV\D.bat
c:\windows\system32\KDPrV\k.x
c:\windows\system32\KDPrV\S002.exe
c:\windows\system32\KkpgB
c:\windows\system32\KkpgB\00016.exe
c:\windows\system32\KkpgB\k.x
c:\windows\system32\KkpgB\S002.exe
c:\windows\system32\kOwU
c:\windows\system32\kOwU\00016.exe
c:\windows\system32\kOwU\0003.exe
c:\windows\system32\kOwU\D.bat
c:\windows\system32\kOwU\k.x
c:\windows\system32\kOwU\S002.exe
c:\windows\system32\kVbj
c:\windows\system32\kVbj\00016.exe
c:\windows\system32\kVbj\k.x
c:\windows\system32\kVbj\RemoteStorage.dll
c:\windows\system32\kVbj\S002.exe
c:\windows\system32\LJfcT
c:\windows\system32\LJfcT\0001.exe
c:\windows\system32\LJfcT\00010.exe
c:\windows\system32\LJfcT\k.x
c:\windows\system32\LPjSp
c:\windows\system32\LPjSp\k.x
c:\windows\system32\lrnMR
c:\windows\system32\lrnMR\00016.exe
c:\windows\system32\lrnMR\k.x
c:\windows\system32\lrnMR\S002.exe
c:\windows\system32\LRRan
c:\windows\system32\LRRan\k.x
c:\windows\system32\LwpJN
c:\windows\system32\LwpJN\k.x
c:\windows\system32\lZPil
c:\windows\system32\lZPil\k.x
c:\windows\system32\mNuIp
c:\windows\system32\mNuIp\00016.exe
c:\windows\system32\mNuIp\0002.exe
c:\windows\system32\mNuIp\0003.exe
c:\windows\system32\mNuIp\D.bat
c:\windows\system32\mNuIp\k.x
c:\windows\system32\mNuIp\S002.exe
c:\windows\system32\MvhbP
c:\windows\system32\MvhbP\0001.exe
c:\windows\system32\MvhbP\00010.exe
c:\windows\system32\MvhbP\k.x
c:\windows\system32\MvhbP\S002.exe
c:\windows\system32\nOBET
c:\windows\system32\nOBET\00016.exe
c:\windows\system32\nOBET\k.x
c:\windows\system32\nOBET\S002.exe
c:\windows\system32\NVJxO
c:\windows\system32\NVJxO\k.x
c:\windows\system32\oaVWe
c:\windows\system32\oaVWe\00016.exe
c:\windows\system32\oaVWe\0004.exe
c:\windows\system32\oaVWe\0006.exe
c:\windows\system32\oaVWe\k.x
c:\windows\system32\oaVWe\S002.exe
c:\windows\system32\oFZHw
c:\windows\system32\oFZHw\00010.exe
c:\windows\system32\oFZHw\0002.exe
c:\windows\system32\oFZHw\k.x
c:\windows\system32\oFZHw\S002.exe
c:\windows\system32\OmtMh
c:\windows\system32\OmtMh\00016.exe
c:\windows\system32\OmtMh\k.x
c:\windows\system32\OmtMh\S002.exe
c:\windows\system32\PJrey
c:\windows\system32\PJrey\k.x
c:\windows\system32\puubT
c:\windows\system32\puubT\k.x
c:\windows\system32\PxWAx
c:\windows\system32\PxWAx\k.x
c:\windows\system32\pYBHF
c:\windows\system32\pYBHF\k.x
c:\windows\system32\qJhaR
c:\windows\system32\qJhaR\00016.exe
c:\windows\system32\qJhaR\0002.exe
c:\windows\system32\qJhaR\k.x
c:\windows\system32\qJhaR\S002.exe
c:\windows\system32\qJUHD
c:\windows\system32\qJUHD\k.x
c:\windows\system32\QOmJZ
c:\windows\system32\QOmJZ\k.x
c:\windows\system32\QoOdz
c:\windows\system32\QoOdz\k.x
c:\windows\system32\QoOdz\S002.exe
c:\windows\system32\QsEor
c:\windows\system32\QsEor\00010.exe
c:\windows\system32\QsEor\00016.exe
c:\windows\system32\QsEor\0003.exe
c:\windows\system32\QsEor\k.x
c:\windows\system32\QsEor\S002.exe
c:\windows\system32\QUljr
c:\windows\system32\QUljr\k.x
c:\windows\system32\QVaLc
c:\windows\system32\QVaLc\k.x
c:\windows\system32\RGtsD
c:\windows\system32\RGtsD\0001.exe
c:\windows\system32\RGtsD\00010.exe
c:\windows\system32\RGtsD\k.x
c:\windows\system32\RGtsD\S002.exe
c:\windows\system32\rHUjf
c:\windows\system32\rHUjf\00016.exe
c:\windows\system32\rHUjf\k.x
c:\windows\system32\rHUjf\S002.exe
c:\windows\system32\rlhfL
c:\windows\system32\rlhfL\00016.exe
c:\windows\system32\rlhfL\k.x
c:\windows\system32\rlhfL\RemoteStorage.dll
c:\windows\system32\rlhfL\S002.exe
c:\windows\system32\RvJDQ
c:\windows\system32\RvJDQ\k.x
c:\windows\system32\sguMA
c:\windows\system32\sguMA\k.x
c:\windows\system32\SIOYg
c:\windows\system32\SIOYg\k.x
c:\windows\system32\StaV
c:\windows\system32\StaV\00016.exe
c:\windows\system32\StaV\k.x
c:\windows\system32\StaV\S002.exe
c:\windows\system32\tcYpn
c:\windows\system32\tcYpn\k.x
c:\windows\system32\THcdV
c:\windows\system32\THcdV\k.x
c:\windows\system32\TnNVD
c:\windows\system32\TnNVD\k.x
c:\windows\system32\tsbam
c:\windows\system32\tsbam\00016.exe
c:\windows\system32\tsbam\D.bat
c:\windows\system32\tsbam\k.x
c:\windows\system32\tsbam\S002.exe
c:\windows\system32\UCFUB
c:\windows\system32\UCFUB\00016.exe
c:\windows\system32\UCFUB\k.x
c:\windows\system32\UCFUB\S002.exe
c:\windows\system32\Ufxdo
c:\windows\system32\Ufxdo\k.x
c:\windows\system32\UiFRi
c:\windows\system32\UiFRi\00016.exe
c:\windows\system32\UiFRi\k.x
c:\windows\system32\UiFRi\S002.exe
c:\windows\system32\uQeGh
c:\windows\system32\uQeGh\00016.exe
c:\windows\system32\uQeGh\k.x
c:\windows\system32\uQeGh\S002.exe
c:\windows\system32\UReQ
c:\windows\system32\UReQ\k.x
c:\windows\system32\UYUvZ
c:\windows\system32\UYUvZ\k.x
c:\windows\system32\VdKHW
c:\windows\system32\VdKHW\k.x
c:\windows\system32\VnvJv
c:\windows\system32\VnvJv\k.x
c:\windows\system32\vrrpW
c:\windows\system32\vrrpW\00016.exe
c:\windows\system32\vrrpW\k.x
c:\windows\system32\vrrpW\S002.exe
c:\windows\system32\vsbHo
c:\windows\system32\vsbHo\00010.exe
c:\windows\system32\vsbHo\0002.exe
c:\windows\system32\vsbHo\k.x
c:\windows\system32\vsbHo\S002.exe
c:\windows\system32\weQnX
c:\windows\system32\weQnX\k.x
c:\windows\system32\WLajY
c:\windows\system32\WLajY\k.x
c:\windows\system32\WpHvk
c:\windows\system32\WpHvk\00016.exe
c:\windows\system32\WpHvk\0003.exe
c:\windows\system32\WpHvk\k.x
c:\windows\system32\WpHvk\S002.exe
c:\windows\system32\WRVKY
c:\windows\system32\WRVKY\00016.exe
c:\windows\system32\WRVKY\k.x
c:\windows\system32\WRVKY\S002.exe
c:\windows\system32\WTNEC
c:\windows\system32\WTNEC\k.x
c:\windows\system32\wZQAX
c:\windows\system32\wZQAX\k.x
c:\windows\system32\xfqrS
c:\windows\system32\xfqrS\k.x
c:\windows\system32\xIlGj
c:\windows\system32\xIlGj\00016.exe
c:\windows\system32\xIlGj\k.x
c:\windows\system32\xIlGj\S002.exe
c:\windows\system32\XnLBu
c:\windows\system32\XnLBu\k.x
c:\windows\system32\XTIGX
c:\windows\system32\XTIGX\k.x
c:\windows\system32\YDZGW
c:\windows\system32\YDZGW\k.x
c:\windows\system32\yRbWv
c:\windows\system32\yRbWv\k.x
c:\windows\system32\ysVXm
c:\windows\system32\ysVXm\00016.exe
c:\windows\system32\ysVXm\0002.exe
c:\windows\system32\ysVXm\0003.exe
c:\windows\system32\ysVXm\D.bat
c:\windows\system32\ysVXm\k.x
c:\windows\system32\ysVXm\S002.exe
c:\windows\system32\YvlZb
c:\windows\system32\YvlZb\0001.exe
c:\windows\system32\YvlZb\00010.exe
c:\windows\system32\YvlZb\00015.exe
c:\windows\system32\YvlZb\k.x
c:\windows\system32\ZJsJv
c:\windows\system32\ZJsJv\00016.exe
c:\windows\system32\ZJsJv\k.x
c:\windows\system32\ZJsJv\S002.exe
c:\windows\system32\zPguc
c:\windows\system32\zPguc\k.x
c:\windows\system32\ZSDrh
c:\windows\system32\ZSDrh\k.x
c:\windows\system32\ZSPkl
c:\windows\system32\ZSPkl\k.x
c:\windows\system32\ZXYpm
c:\windows\system32\ZXYpm\k.x
c:\windows\system32\ZYRSh
c:\windows\system32\ZYRSh\k.x

.
((((((((((((((((((((((((( Files Created from 2008-12-20 to 2009-01-20 )))))))))))))))))))))))))))))))
.

2009-01-20 11:07 . 2009-01-20 11:07 <DIR> d-------- c:\windows\ERUNT
2009-01-20 11:02 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2009-01-19 18:14 . 2009-01-19 18:14 <DIR> d-------- c:\documents and settings\User\DoctorWeb
2009-01-19 14:42 . 2009-01-19 14:42 <DIR> d-------- C:\rsit
2009-01-19 14:42 . 2009-01-19 14:42 <DIR> d-------- c:\program files\trend micro
2009-01-19 14:00 . 2009-01-19 14:00 <DIR> d-------- c:\windows\system32\exsxL
2009-01-19 13:59 . 2009-01-19 13:59 <DIR> d-------- c:\windows\system32\sDJxC
2009-01-19 12:56 . 2009-01-19 12:56 <DIR> d-------- c:\documents and settings\User\Application Data\CyberLink
2009-01-19 12:55 . 2009-01-19 12:55 <DIR> d-------- c:\documents and settings\All Users\Application Data\CyberLink
2009-01-19 12:54 . 2009-01-19 18:02 226 --a------ c:\windows\system32\vaojsu.key
2009-01-19 11:40 . 2009-01-19 11:40 <DIR> d-------- c:\windows\system32\ibtuA
2009-01-19 11:37 . 2009-01-19 11:37 <DIR> d-------- c:\windows\system32\wIuxe
2009-01-19 11:36 . 2009-01-19 11:36 <DIR> d-------- c:\windows\system32\ixzWv
2009-01-19 11:34 . 2009-01-19 11:34 <DIR> d-------- c:\windows\system32\TUupP
2009-01-19 11:34 . 2009-01-19 11:34 <DIR> d-------- c:\windows\system32\HHLid
2009-01-19 11:33 . 2009-01-19 11:33 <DIR> d-------- c:\windows\system32\pdgcA
2009-01-19 11:31 . 2009-01-19 11:31 <DIR> d-------- c:\windows\system32\fJUOj
2009-01-19 11:31 . 2009-01-19 11:32 <DIR> d-------- c:\windows\system32\dqphz
2009-01-19 11:27 . 2009-01-19 11:27 <DIR> d-------- c:\windows\system32\NHKBB
2009-01-19 11:23 . 2009-01-19 11:23 <DIR> d-------- c:\windows\system32\SDbiV
2009-01-19 11:21 . 2009-01-19 11:21 <DIR> d-------- c:\windows\system32\QRhKB
2009-01-19 11:21 . 2009-01-19 23:24 28,672 --a------ c:\windows\system32\RemoteStorage.dll
2009-01-19 11:21 . 2009-01-19 11:21 1 --a------ c:\windows\system32\000632c4.ini
2009-01-19 11:20 . 2009-01-19 11:20 <DIR> d-------- c:\windows\system32\ZLabD
2009-01-19 11:19 . 2009-01-19 11:19 <DIR> d-------- c:\windows\system32\zqFeC
2009-01-19 11:19 . 2009-01-19 11:19 <DIR> d-------- c:\windows\system32\PkNRT
2009-01-19 11:18 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\jhmcP
2009-01-19 11:18 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\IyVKV
2009-01-19 11:17 . 2009-01-19 11:18 <DIR> d-------- c:\windows\system32\MixkS
2009-01-19 11:17 . 2009-01-19 11:17 <DIR> d-------- c:\windows\system32\JeJxJ
2009-01-19 11:16 . 2009-01-19 11:16 <DIR> d-------- c:\windows\system32\NDhBy
2009-01-19 11:15 . 2009-01-19 11:15 <DIR> d-------- c:\windows\system32\nrCQS
2009-01-19 11:14 . 2009-01-19 11:14 <DIR> d-------- c:\windows\system32\IRqui
2009-01-19 11:12 . 2009-01-19 11:12 <DIR> d-------- c:\windows\system32\IETQP
2009-01-19 11:11 . 2009-01-19 11:11 <DIR> d-------- c:\windows\system32\pfcle
2009-01-19 11:08 . 2009-01-19 11:08 <DIR> d-------- c:\windows\system32\SIeoF
2009-01-19 11:08 . 2009-01-19 11:08 <DIR> d-------- c:\windows\system32\joeof
2009-01-19 11:07 . 2009-01-19 11:07 <DIR> d-------- c:\windows\system32\PeCar
2009-01-19 11:06 . 2009-01-19 11:06 <DIR> d-------- c:\windows\system32\Ipeoc
2009-01-19 11:05 . 2009-01-19 11:05 <DIR> d-------- c:\windows\system32\qCgZn
2009-01-18 19:20 . 2009-01-18 19:20 79,422 --a------ c:\windows\system32\%LocalXml%
2009-01-18 19:11 . 2009-01-18 19:11 <DIR> d-------- c:\windows\system32\BUIXO
2009-01-18 19:03 . 2009-01-18 19:03 <DIR> d-------- c:\windows\system32\joeIz
2009-01-18 14:56 . 2009-01-18 14:56 <DIR> d-------- c:\windows\system32\IJGJf
2009-01-18 14:55 . 2009-01-18 14:55 <DIR> d-------- c:\windows\system32\ilEPz
2009-01-18 14:54 . 2009-01-18 14:54 <DIR> d-------- c:\windows\system32\SIDKU
2009-01-18 14:54 . 2009-01-18 14:54 <DIR> d-------- c:\windows\system32\jcraT
2009-01-18 14:53 . 2009-01-18 14:53 <DIR> d-------- c:\windows\system32\noDea
2009-01-18 14:51 . 2009-01-18 14:51 <DIR> d-------- c:\windows\system32\MtCIL
2009-01-18 14:50 . 2009-01-18 14:50 <DIR> d-------- c:\windows\system32\MUNMP
2009-01-18 14:49 . 2009-01-18 14:49 <DIR> d-------- c:\windows\system32\NLQro
2009-01-18 14:49 . 2009-01-18 14:49 <DIR> d-------- c:\windows\system32\KEgL
2009-01-18 14:48 . 2009-01-18 14:48 <DIR> d-------- c:\windows\system32\JhnPr
2009-01-18 13:24 . 2009-01-18 13:24 <DIR> d-------- c:\windows\system32\SiMTF
2009-01-18 13:21 . 2009-01-18 13:21 96,976 --a------ c:\windows\system32\drivers\klin.dat
2009-01-18 13:21 . 2009-01-18 13:21 87,855 --a------ c:\windows\system32\drivers\klick.dat
2009-01-18 13:20 . 2009-01-18 13:20 <DIR> d-------- c:\program files\Kaspersky Lab
2009-01-18 13:20 . 2009-01-18 13:20 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-18 13:20 . 2009-01-20 12:46 164,896 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-01-18 13:20 . 2009-01-20 12:46 32,800 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2009-01-18 13:20 . 2009-01-20 12:46 3,416 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-01-18 13:20 . 2009-01-20 12:46 1,192 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2009-01-18 13:16 . 2009-01-18 13:16 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-01-18 12:45 . 2009-01-18 12:45 1,905 --a------ c:\windows\diagwrn.xml
2009-01-18 12:45 . 2009-01-18 12:45 1,905 --a------ c:\windows\diagerr.xml
2009-01-18 12:25 . 2009-01-18 12:25 <DIR> dr------- c:\documents and settings\LocalService\Избранное
2009-01-17 22:12 . 2009-01-19 18:09 4,224 --a------ c:\windows\system32\drivers\beep.sys
2009-01-17 22:12 . 2009-01-19 18:09 4,224 --a------ c:\windows\system32\dllcache\beep.sys
2009-01-16 16:25 . 2009-01-16 16:25 <DIR> d--hs---- C:\FOUND.002
2009-01-16 14:26 . 2009-01-16 14:26 <DIR> d-------- c:\windows\system32\CatRoot_bak
2009-01-15 23:28 . 2009-01-15 23:28 <DIR> d-------- c:\program files\MSXML 6.0
2009-01-15 23:27 . 2009-01-15 23:27 <DIR> d-------- c:\program files\MSXML 4.0
2009-01-15 15:58 . 2009-01-15 15:58 <DIR> d-------- C:\downloads
2009-01-15 15:58 . 2009-01-15 15:58 <DIR> d-------- c:\documents and settings\User\Application Data\GrabPro
2009-01-15 15:57 . 2009-01-15 15:57 <DIR> d-------- c:\program files\Orbitdownloader
2009-01-15 15:57 . 2009-01-15 15:57 <DIR> d-------- c:\documents and settings\User\Application Data\Orbit
2009-01-15 15:17 . 2009-01-15 15:17 <DIR> d-------- c:\windows\system32\Performance
2009-01-15 15:17 . 2009-01-15 15:17 34,304 --a------ c:\windows\system32\Ntsvc.ocx
2009-01-15 15:16 . 2009-01-15 15:16 <DIR> d-------- c:\windows\system32\MSN
2009-01-15 12:11 . 2008-06-14 20:59 272,512 --------- c:\windows\system32\drivers\bthport.sys
2009-01-15 12:11 . 2008-06-14 20:59 272,512 --------- c:\windows\system32\dllcache\bthport.sys
2009-01-15 12:09 . 2008-08-14 16:47 2,182,144 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-01-15 12:09 . 2008-08-14 16:47 2,138,112 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-01-15 12:09 . 2008-08-14 16:47 2,059,520 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-01-15 12:09 . 2008-08-14 16:47 2,017,792 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-01-15 12:08 . 2008-10-24 14:25 455,936 --------- c:\windows\system32\dllcache\mrxsmb.sys
2009-01-15 12:05 . 2009-01-15 12:06 <DIR> d--h----- c:\windows\$hf_mig$
2009-01-15 00:07 . 2009-01-15 00:07 <DIR> d-------- c:\windows\FLV Player
2009-01-15 00:07 . 2009-01-15 00:07 <DIR> d-------- c:\program files\FLV Player
2009-01-14 23:47 . 2009-01-14 23:47 <DIR> d-------- c:\program files\MSECache
2009-01-14 23:37 . 2008-10-16 14:08 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-01-14 23:37 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2009-01-14 23:37 . 2008-10-16 14:07 23,576 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-01-14 23:37 . 2008-10-16 14:07 18,968 --a------ c:\windows\system32\wuaueng.dll.mui
2009-01-14 23:35 . 2004-12-28 18:58 26,368 --a------ c:\windows\system32\dllcache\usbstor.sys
2009-01-14 15:40 . 2009-01-19 12:56 69 --a------ c:\windows\NeroDigital.ini
2009-01-14 15:25 . 2009-01-14 15:25 <DIR> d-------- c:\documents and settings\User\Phone Browser
2009-01-14 15:25 . 2009-01-14 15:25 <DIR> d-------- c:\documents and settings\User\Application Data\Datalayer
2009-01-14 15:24 . 2009-01-14 15:24 <DIR> d-------- c:\documents and settings\User\Application Data\Nokia
2009-01-14 15:21 . 2009-01-14 15:21 <DIR> d--hs---- C:\FOUND.001
2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\program files\Common Files\PCSuite
2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\program files\Common Files\Nokia
2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\documents and settings\User\Application Data\PC Suite
2009-01-14 15:14 . 2009-01-14 15:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\PC Suite
2009-01-14 15:13 . 2006-05-29 08:26 13,312 --a------ c:\windows\system32\drivers\nmwcdcm.sys
2009-01-14 15:13 . 2006-05-29 08:26 8,704 --a------ c:\windows\system32\drivers\nmwcdc.sys
2009-01-14 15:11 . 2009-01-14 15:11 <DIR> d-------- c:\windows\system32\DRVSTORE
2009-01-14 15:11 . 2006-05-29 08:26 127,488 --a------ c:\windows\system32\drivers\nmwcd.sys
2009-01-14 15:11 . 2006-05-29 08:26 30,720 --a------ c:\windows\system32\nmwcdcocls.dll
2009-01-14 15:11 . 2006-05-29 08:26 4,608 --a------ c:\windows\system32\nmwcdlog.dll
2009-01-14 15:10 . 2009-01-14 15:10 <DIR> d-------- c:\program files\Nokia
2009-01-14 15:10 . 2006-05-29 08:26 50,688 --a------ c:\windows\system32\nmwcdcls.dll
2009-01-14 15:09 . 2009-01-14 15:09 <DIR> d-------- c:\documents and settings\All Users\Application Data\Downloaded Installations
2009-01-14 15:08 . 2009-01-14 15:08 <DIR> d--hs---- c:\windows\ftpcache
2009-01-13 15:43 . 2001-10-20 15:00 103,424 --a------ c:\windows\system32\dllcache\eqnclass.dll
2009-01-13 15:43 . 2001-10-20 15:00 85,532 --a------ c:\windows\system32\dllcache\dgsetup.dll
2009-01-13 15:43 . 2004-08-17 17:04 8,704 --a------ c:\windows\system32\dllcache\batt.dll
2009-01-13 14:42 . 2009-01-13 14:42 <DIR> d-------- c:\program files\ESET
2009-01-13 14:32 . 2009-01-13 14:32 <DIR> d--hs---- C:\Recycled
2009-01-13 14:27 . 2009-01-13 14:27 <DIR> d-------- c:\documents and settings\User\Application Data\Corel
2009-01-13 14:27 . 2009-01-13 14:27 848 --ahs---- c:\windows\system32\KGyGaAvL.sys
2009-01-13 14:24 . 2009-01-13 14:24 <DIR> d-------- c:\documents and settings\User\Application Data\ACD Systems
2009-01-13 14:20 . 2009-01-13 14:20 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-13 14:20 . 2009-01-13 14:20 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-01-13 14:12 . 2009-01-13 14:12 <DIR> d--hs---- C:\FOUND.000

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 09:54 25,992 ----a-w c:\windows\system32\pgdfgsvc.exe
2009-01-13 09:53 --------- d-----w c:\program files\Unlocker
2009-01-13 09:53 --------- d-----w c:\program files\Uninstall Tool
2009-01-13 09:53 --------- d-----w c:\program files\System information for Windows
2009-01-13 09:53 --------- d-----w c:\program files\SysInternals
2009-01-13 09:53 --------- d-----w c:\program files\Scanner
2009-01-13 09:53 --------- d-----w c:\program files\GameXP
2009-01-13 09:53 --------- d-----w c:\program files\Foxit Reader
2009-01-13 09:53 --------- d-----w c:\program files\CCleaner
2008-12-12 17:29 3,088,384 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-12-11 10:24 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 10:24 333,184 ----a-w c:\windows\system32\dllcache\srv.sys
2008-11-11 17:00 218,376 ----a-w c:\windows\system32\klogon.dll
2008-10-23 12:52 284,160 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:52 284,160 ----a-w c:\windows\system32\dllcache\gdi32.dll
2008-09-30 21:00 718,336 ---h--r c:\program files\reat.exe
.

((((((((((((((((((((((((((((( snapshot@2009-01-20_ 1.08.23.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 12:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2009-01-20 08:07:46 2,105,344 ----a-w c:\windows\ERUNT\SDFIX\Users\00000001\ntuser.dat
+ 2009-01-20 08:07:46 159,744 ----a-w c:\windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 12:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2009-01-20 08:07:36 2,105,344 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000001\ntuser.dat
+ 2009-01-20 08:07:36 159,744 ----a-w c:\windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2009-01-20 09:51:22 16,384 ----a-w c:\windows\Temp\Perflib_Perfdata_170.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"PcSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
"CoolSwitch"="c:\windows\system32\TaskSwitch.exe" [2005-12-22 45632]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-13 136600]
"PCSuiteTrayApplication"="d:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 229376]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-11-11 206088]
"SoundMan"="SOUNDMAN.EXE" [2006-03-02 c:\windows\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-04-01 c:\windows\system32\nwiz.exe]

c:\documents and settings\User\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
HDDlife.lnk - d:\program files\BinarySense\HDDlife\HDDlifePro.exe [2005-07-07 1299316]

c:\documents and settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
“бЄ®аҐ**л© §*ЇгбЄ Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696]
Orbit.lnk - c:\program files\Orbitdownloader\orbitdm.exe [2009-01-15 1690824]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"Start_NotifyNewApps"= 0 (0x0)
"NoSMConfigurePrograms"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"Start_NotifyNewApps"= 0 (0x0)
"NoSMConfigurePrograms"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.DIV3"= DivXc32.dll
"VIDC.DIV4"= DivXc32f.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.VP31"= vp31vfw.dll
"VIDC.MPG4"= msmpeg4.dll
"VIDC.MP42"= msmpeg4.dll
"VIDC.MP43"= msmpeg4.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0pgdfgsvc C 1

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R0 a348bus;a348bus;c:\windows\system32\drivers\a348bus.sys [2009-01-13 160640]
R0 a348scsi;a348scsi;c:\windows\system32\drivers\a348scsi.sys [2009-01-13 5248]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [2009-01-13 15872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
svchost.exe REG_MULTI_SZ svchost.exe
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://search.orbitdownloader.com
IE: &Download by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/204
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Do&wnload selected by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\program files\Orbitdownloader\orbitmxt.dll/202
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 13:07:57
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2009-01-20 13:09:59
ComboFix-quarantined-files.txt 2009-01-20 10:09:56
ComboFix2.txt 2009-01-19 22:15:26

Pre-Run: 13,697,892,352 байт свободно
Post-Run: 13,672,415,232 байт свободно

632 --- E O F --- 2009-01-15 20:31:00

 

[vovo2005]

Присылаю RSIT, там всё-равно папки остались

 

[akok]

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\program files\reat.exe
Folder::
C:\WINDOWS\system32\exsxL
C:\WINDOWS\system32\sDJxC
C:\WINDOWS\system32\ibtuA
C:\WINDOWS\system32\wIuxe
C:\WINDOWS\system32\ixzWv
C:\WINDOWS\system32\TUupP
C:\WINDOWS\system32\HHLid
C:\WINDOWS\system32\pdgcA
C:\WINDOWS\system32\dqphz
C:\WINDOWS\system32\fJUOj
C:\WINDOWS\system32\NHKBB
C:\WINDOWS\system32\SDbiV
C:\WINDOWS\system32\QRhKB
C:\WINDOWS\system32\ZLabD
C:\WINDOWS\system32\PkNRT
C:\WINDOWS\system32\zqFeC
C:\WINDOWS\system32\jhmcP
C:\WINDOWS\system32\IyVKV
C:\WINDOWS\system32\MixkS
C:\WINDOWS\system32\JeJxJ
C:\WINDOWS\system32\NDhBy
C:\WINDOWS\system32\nrCQS
C:\WINDOWS\system32\IRqui
C:\WINDOWS\system32\IETQP
C:\WINDOWS\system32\pfcle
C:\WINDOWS\system32\SIeoF
C:\WINDOWS\system32\joeof
C:\WINDOWS\system32\PeCar
C:\WINDOWS\system32\Ipeoc
C:\WINDOWS\system32\qCgZn
C:\WINDOWS\system32\BUIXO
C:\WINDOWS\system32\joeIz
C:\WINDOWS\system32\IJGJf
C:\WINDOWS\system32\ilEPz
C:\WINDOWS\system32\jcraT
C:\WINDOWS\system32\SIDKU
C:\WINDOWS\system32\noDea
C:\WINDOWS\system32\MtCIL
C:\WINDOWS\system32\MUNMP
C:\WINDOWS\system32\KEgL
C:\WINDOWS\system32\NLQro
C:\WINDOWS\system32\JhnPr
C:\WINDOWS\system32\SiMTF
FileLook::
C:\WINDOWS\system32\RemoteStorage.dll
DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

 

[vovo2005]

Malwarebytes' Anti-Malware 1.33
Версия базы данных: 1668
Windows 5.1.2600 Service Pack 2

20.01.2009 15:19:22
mbam-log-2009-01-20 (15-19-22).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 134817
Прошло времени: 1 hour(s), 12 minute(s), 0 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

 

[vovo2005]

Дальше чё делать надо?

 

[akok]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows\system32\vaojsu.key

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Какие проблемы еще наблюдаются?

 

[vovo2005]

Спасибо огромное всё, вроде, удалилось. Ко мне тут кто-то хотел залесть, каспер выдал прогу asterisks xp. Не подскажите, мне нод 32 больше нравиться, он от этих вирусников сможет защитить, я его каждый час обновляю?

 

[antispy]

У Вас касперский какой КАВ или КИС?

 

[akok]

Если ставите заплатки и ходите по возможности под ограниченым юзверем....да.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на akok<at>pisem.net (с указанной ссылкой на тему. (at=@)

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up

 

[vovo2005]

Каспер КИС. Он комп тормозит.

 

[vovo2005]

Почему-то запакованные файлы не хотят отпраляться.

 

[akok]

Какой размер файлов?

Каспер КИС. Он комп тормозит.

С выходом версии линейка 2009 с этим проблемы не наблюдаю :soldier: