Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Вирус ntvdm.exe-грузит ЦП на 100%,mspaint.exe не выключается, и в папке Rouming создаются не понятные файлы. (заявка № 141015)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13

    Вирус ntvdm.exe-грузит ЦП на 100%,mspaint.exe не выключается, и в папке Rouming создаются не понятные файлы.

    Безымянный.jpgБезымянный2.jpgБезымянный3.jpgБезымянный4.jpgПробывал всё удалять не помогло, делал множество скриптов в amz, тож не помогло, через не которое время снова всё появляется.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Денис Харин, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13

    Вот логи

    logi.zip

    - - - Добавлено - - -

    Помогите(

    - - - Добавлено - - -

    Может что нибудь еще скинуть?
    Последний раз редактировалось Денис Харин; 25.06.2013 в 16:31.

  6. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Перечитайте правила и пришлите нужные логи AVZ
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. thyrex получил(а) благодарность за это сообщение от


  8. #5
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13

    Вот вроде правильно сделал.

    Подскажите какой еще файл не хватает(
    Вложения Вложения

  9. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Диа н а\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
     DeleteFile('C:\Users\Диа н а\AppData\Roaming\ScreenSaverPro.scr');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(16); 
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. thyrex получил(а) благодарность за это сообщение от


  11. #7
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13

    вот новые логи

    Всё равно есть эти процессы(
    Вложения Вложения

  12. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     TerminateProcessByName('c:\users\Диа н а\appdata\roaming\2690.exe');
     QuarantineFile('C:\Users\Диа н а\AppData\Roaming\2690.exe.gonewiththewings','');
     QuarantineFile('C:\Users\Диа н а\AppData\Roaming\ScreenSaverPro.scr','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe','');
     QuarantineFile('c:\users\Диа н а\appdata\roaming\2690.exe','');
     DeleteFile('C:\Users\Диа н а\AppData\Roaming\2690.exe.gonewiththewings');
     DeleteFile('c:\users\Диа н а\appdata\roaming\2690.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe');
     DeleteFile('C:\Users\Диа н а\appdata\roaming\screensaverpro.scr');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ca40229dd');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(10);
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    -
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки.
    3. Закройте все программы, B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО.
    4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    5. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.81 script [http://dsrt.dyndns.org]
      
      adddir %SystemDrive%\USERS\Диа н а\APPDATA\ROAMING
      crimg
    6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    9. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  13. #9
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13
    Почему то не грузится карантин(через тот сайт

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    какой тот сайт ?

    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху этой темы.

    - - - Добавлено - - -

    если образ автозапуска не помещается во вложения загрузите его сюда http://rghost.ru/ и дайте ссылку на скачивание.

  15. #11
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13
    Напишите пожалуйста свой ид в контакте у меня почему то на сайте Rgost тож не скидывается стоит загрузка на 99 процентах

  16. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    контактом не пользуюсь.
    Zalil, Dump.Ru, [url=http://sderni.ru/]Sderni.ru[/url или WebFile на какой-нибудь из них можете загрузить ?

  17. #13
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13
    Не на одном сайте не получается выгрузить, происходит ошибка подключения

    - - - Добавлено - - -

    А вы сможете помочь мне через программу TeamViewer?

  18. #14

  19. regist получил(а) благодарность за это сообщение от


  20. #15
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13

  21. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  22. thyrex получил(а) благодарность за это сообщение от


  23. #17
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13
    Сейчас просканирую программой MBAM и отправлю вам лог

    - - - Добавлено - - -

    Находит 27 угроз после этого компютор зависает и не чего нельзя сделать

  24. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    попробуйте просканировать в безопасном режиме и прикрепите лог к сообщению.

    - - - Добавлено - - -

    в крайнем случае прикрепите скрин с теми угрозами, что успевает найти.

  25. regist получил(а) благодарность за это сообщение от


  26. #19
    Junior Member Репутация
    Регистрация
    25.06.2013
    Сообщений
    26
    Вес репутации
    13
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Версия базы данных: v2013.06.25.08

    Windows 7 x86 NTFS
    Internet Explorer 8.0.7600.16385
    Диа н а :: ДИАНА-ПК [администратор]

    26.06.2013 0:26:38
    MBAM-log-2013-06-26 (00-29-50).txt

    Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|G:\|H:\|R:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 29540
    Времени прошло: 2 минут , 39 секунд [отменено]

    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 13
    HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
    HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Действие не было предпринято.
    HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Действие не было предпринято.
    HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Действие не было предпринято.
    HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext \Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

    Обнаруженные параметры в реестре: 2
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |Screen Saver Pro 3.1 (Malware.Packer.ZGen) -> Параметры: C:\Users\Диа н а\AppData\Roaming\ScreenSaverPro.scr -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 2
    C:\Users\Диа н а\AppData\Roaming\ScreenSaverPro.scr (Malware.Packer.ZGen) -> Действие не было предпринято.
    C:\Program Files\Get-Styles 2.0\utils\updatebho.dll (PUP.Blabbers) -> Действие не было предпринято.

    (конец)

    - - - Добавлено - - -

    это не всё постараюсь всё выслать..(зависает, когда обыскивыет папку флешплеер

    - - - Добавлено - - -

    ComboFix 13-06-25.01 - Диа н а 26.06.2013 1:14.2.2 - x86
    Microsoft Windows 7 Максимальная 6.1.7600.0.1251.7.1049.18.2047.1293 [GMT 4:00]
    Running from: c:\users\Диа н а\Desktop\ComboFix.exe
    AV: ESET NOD32 Antivirus 4.0 *Enabled/Outdated* {CB0F8167-5331-BA19-698E-64816B6801A5}
    SP: ESET NOD32 Antivirus 4.0 *Enabled/Outdated* {706E6083-750B-B597-533E-5FF310EF4B18}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Created a new restore point
    * Resident AV is active
    .
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Previous Run -------
    .
    c:\programdata\srtserv\set.dat
    c:\programdata\srtserv\task.dat
    c:\users\Диа н а\AppData\Roaming\D603.exe
    c:\users\Диа н а\AppData\Roaming\E56F.exe
    c:\users\Диа н а\AppData\Roaming\Microsoft\Fslyld.exe
    c:\users\Диа н а\AppData\Roaming\ScreenSaverPro.scr
    c:\users\Диа н а\AppData\Roaming\temp.bin
    c:\windows\PFRO.log
    c:\windows\system32\is-153P6.tmp
    c:\windows\system32\is-H4JUC.tmp
    c:\windows\system32\is-K2B3G.tmp
    c:\windows\system32\is-PU43Q.tmp
    c:\windows\system32\is-R1GUJ.tmp
    c:\windows\system32\is-TGNE4.tmp
    c:\windows\system32\service\06082012_TIS17_PccScan .log
    c:\windows\system32\service\16082012_TIS17_SfFniAU .log
    c:\windows\system32\tmp5429.tmp
    c:\windows\system32\tmp5591.tmp
    c:\windows\system32\tmp7B9B.tmp
    c:\windows\system32\tmpD4A4.tmp
    c:\windows\system32\tmpD61B.tmp
    .
    .
    ((((((((((((((((((((((((( Files Created from 2013-05-25 to 2013-06-25 )))))))))))))))))))))))))))))))
    .
    .
    2013-06-25 21:21 . 2013-06-25 21:21 -------- d-----w- c:\users\Гость\AppData\Local\temp
    2013-06-25 21:21 . 2013-06-25 21:21 -------- d-----w- c:\users\Default\AppData\Local\temp
    2013-06-25 21:05 . 2013-06-25 21:21 -------- d-----w- c:\users\Диа н а\AppData\Local\temp
    2013-06-25 19:09 . 2013-06-25 20:26 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2013-06-25 19:09 . 2013-06-25 19:09 -------- d-----w- c:\users\Диа н а\AppData\Roaming\Malwarebytes
    2013-06-25 19:09 . 2013-06-25 19:09 -------- d-----w- c:\programdata\Malwarebytes
    2013-06-25 19:09 . 2013-06-25 19:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2013-06-25 19:09 . 2013-04-04 10:50 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
    2013-06-25 12:03 . 2013-06-25 12:03 388096 ----a-r- c:\users\Диа н а\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2013-06-25 12:03 . 2013-06-25 12:03 -------- d-----w- c:\program files\Trend Micro
    2013-06-25 10:05 . 2013-06-25 10:05 -------- d-sh--w- c:\programdata\{32364CEA-7855-4A3C-B674-53D8E9B97936}
    2013-06-25 10:05 . 2013-06-25 10:05 -------- d--h--w- c:\programdata\Common Files
    2013-06-23 08:55 . 2013-06-23 08:55 -------- d-----w- c:\program files\Security Task Manager
    2013-06-21 19:22 . 2013-04-02 07:27 105808 ----a-w- c:\windows\steam_api.dll
    2013-06-21 19:21 . 2012-03-26 12:38 226304 ----a-w- c:\windows\binkw32.dll
    2013-06-21 19:20 . 2012-12-21 11:57 21800 ----a-w- c:\windows\ltmemory.dll
    2013-06-21 19:19 . 2012-12-21 12:20 91432 ----a-w- c:\windows\gamedatabase.dll
    2013-06-21 19:17 . 2013-06-21 19:17 262233 ----a-w- c:\windows\database.dll
    2013-06-21 19:04 . 2013-06-21 19:04 242240 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
    2013-06-21 19:04 . 2013-06-21 19:04 -------- d-----w- c:\program files\DAEMON Tools Lite
    2013-06-21 13:13 . 2013-06-21 13:25 -------- d-----w- C:\League of Legends
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
    .
    2013-06-25 12:03 . 2013-06-25 12:03 388096 ----a-r- c:\users\Диа н а\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2013-06-25 12:03 . 2013-06-25 12:03 388096 ----a-r- c:\users\Диа н а\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
    2013-06-12 16:53 . 2012-07-22 13:05 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2013-06-12 16:53 . 2012-07-22 13:05 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
    "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
    "DisallowRun"= 0 (0x0)
    "RestrictRun"= 0 (0x0)
    .
    [HKLM\~\startupfolder\C:^Users^Диа н а^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Punto Switcher.lnk]
    path=c:\users\Диа н а\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk
    backup=c:\windows\pss\Punto Switcher.lnk.Startup
    backupExtension=.Startup
    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Users
    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\users\Диа н а
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\95c7f799a6f1ebab]
    2009-04-20 04:56 60416 ----a-w- c:\combofix\iexplore.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATKMEDIA]
    2009-04-20 07:09 159744 ----a-w- c:\program files\ASUS\ATK Media\DMedia.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2013-03-14 08:23 3672640 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2013-05-21 18:20 116648 ----atw- c:\users\Диа н а\AppData\Local\Google\Update\GoogleUpdate.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControlUser]
    2009-06-19 06:29 105016 ----a-w- c:\program files\ASUS\ATK Hotkey\HControlUser.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
    2009-09-17 07:36 1474560 ----a-r- c:\program files\VIA\VIAudioi\VDeck\VDECK.EXE
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HTC Sync Loader]
    2011-03-08 11:23 585728 ----a-w- c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
    2012-07-25 21:43 22576232 ----a-w- c:\users\Диа н а\AppData\Roaming\Mail.Ru\Agent\magent.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaGet2]
    2013-06-23 11:57 10807016 ----a-w- c:\users\Диа н а\AppData\Local\MediaGet2\mediaget.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
    2009-07-14 01:14 1173504 ----a-w- c:\program files\Windows Sidebar\sidebar.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    2013-05-09 13:19 18679912 ----a-r- c:\program files\Skype\Phone\Skype.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
    2009-10-01 17:38 98304 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    2012-07-03 05:04 252848 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateLBPShortCut]
    2008-02-21 17:04 222504 ------w- c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMen u.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Mobile-based device management]
    2007-05-31 12:21 648072 ----a-w- c:\windows\WindowsMobile\wmdcBase.exe
    .
    R2 HWDeviceService.exe;HWDeviceService.exe;c:\program data\DatacardService\HWDeviceService.exe [2011-03-14 271712]
    R2 MegaFon Modem. RunOuc;MegaFon Modem. OUC;c:\program files\MegaFon Modem\UpdateDog\ouc.exe [2012-07-27 240640]
    R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2013-02-28 161384]
    R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-08-21 27136]
    R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2009-10-15 94208]
    R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [2012-07-27 102784]
    R3 HTCAND32;HTC Device Driver;c:\windows\system32\Drivers\ANDROIDUSB.sys [2009-10-26 25088]
    R3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\DRIVERS\htcnprot.sys [2010-06-23 23040]
    R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\dr ivers\mbamswissarmy.sys [2013-06-25 40776]
    R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2012-08-04 1343400]
    S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2013-06-21 242240]
    S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-05-14 107256]
    S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-05-14 731840]
    S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfw wfpr.sys [2009-05-14 93312]
    S2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [2010-09-16 80896]
    S2 TeamViewer8;TeamViewer 8;c:\program files\TeamViewer\Version8\TeamViewer_Service.exe [2013-06-13 4150112]
    S3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows \system32\DRIVERS\ew_usbenumfilter.sys [2012-07-27 11136]
    S3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys [2012-07-27 350720]
    S3 huawei_enumerator;huawei_enumerator;c:\windows\sys tem32\DRIVERS\ew_jubusenum.sys [2012-07-27 73984]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
    S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [2009-06-04 27320]
    S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2011-09-07 1814640]
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    WindowsMobile REG_MULTI_SZ wcescomm rapimgr
    LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
    .
    Contents of the 'Scheduled Tasks' folder
    .
    2013-06-25 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\system32\Macromed\Flash\FlashPlayerUpda teService.exe [2012-07-22 16:53]
    .
    .
    ------- Supplementary Scan -------
    .
    uDefault_Search_URL = hxxp://webalta.ru/search
    uStart Page = hxxp://www.mail.ru/cnt/7227
    mStart Page = hxxp://www.rambler.ru/?utm_source=r33&utm_medium=distribution&utm_conten t=e08&utm_campaign=c01
    uSearchAssistant = hxxp://webalta.ru/search
    IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    TCP: Interfaces\{1B843E12-4C5E-47CA-8E6D-57BAFF61BBEB}: NameServer = 83.149.32.224 83.149.32.225
    TCP: Interfaces\{23CDD60F-9763-4F1D-86FF-83A2BABE92E2}: NameServer = 83.149.32.225 83.149.32.224
    TCP: Interfaces\{4F22E625-5F54-46EC-9A66-05A69CA1162F}: NameServer = 83.149.32.224 83.149.32.225
    TCP: Interfaces\{96E45C2C-774E-41A5-A00E-F3A0E68DC0F9}: NameServer = 83.149.32.225 83.149.32.224
    TCP: Interfaces\{98C8ABB7-3D2D-499F-BEE1-8FF0F94F7DAA}: NameServer = 83.149.32.224 83.149.32.225
    TCP: Interfaces\{AA53072A-F2F5-44E6-9B07-6F514C582B43}: NameServer = 83.149.32.225 83.149.32.224
    TCP: Interfaces\{C7795A5B-E21C-43C0-9630-BE408CA111D4}: NameServer = 83.149.32.225 83.149.32.224
    TCP: Interfaces\{E58B32CB-A83F-4488-A623-47C9896FDEAB}: NameServer = 83.149.32.224 83.149.32.225
    .
    - - - - ORPHANS REMOVED - - - -
    .
    Toolbar-Locked - (no file)
    WebBrowser-{026DEFC4-F04C-026D-E8EE-6D0200000000} - (no file)
    WebBrowser-{00020082-041B-0000-0000-000000000000} - (no file)
    HKCU-Run-Fslyld - c:\users\Диа н а\AppData\Roaming\Microsoft\Fslyld.exe
    HKCU-Run-Screen Saver Pro 3.1 - c:\users\Диа н а\AppData\Roaming\ScreenSaverPro.scr
    MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    MSConfigStartUp-ADSMTray - c:\program files\ASUS\ASUS Data Security Manager\ADSMTray.exe
    MSConfigStartUp-AlterGeoUpdater - c:\programdata\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
    MSConfigStartUp-AmIcoSinglun - c:\program files\AmIcoSingLun\AmIcoSinglun.exe
    MSConfigStartUp-ASUS Screen Saver Protector - c:\windows\AsScrPro.exe
    MSConfigStartUp-ATKOSD2 - c:\program files\ASUS\ATKOSD2\ATKOSD2.exe
    MSConfigStartUp-0.6613784010384608 - c:\users\Диа н а\0.6613784010384608.exe
    MSConfigStartUp-ca40229dd - c:\recycler\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe
    MSConfigStartUp-DAEMON Tools Pro Agent - c:\program files\DAEMON Tools Pro\DTAgent.exe
    MSConfigStartUp-MailRuUpdater - c:\users\Диа н а\AppData\Local\Mail.Ru\MailRuUpdater.exe
    MSConfigStartUp-PlusMo - c:\users\Диа н а\AppData\Local\PlusMo\PlusMo.exe
    MSConfigStartUp-Praetorian - c:\users\Диа н а\AppData\Local\Yandex\Updater\praetorian.exe
    MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe
    MSConfigStartUp-S10924103 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S141526 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S1611216 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S5159155 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S56153110 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S7819044 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S8816277 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-S9090180 - c:\users\Диа н а\0.11858236818220125.exe
    MSConfigStartUp-Screen Saver Pro 3 - c:\users\Диа н а\AppData\Roaming\ScreenSaverPro.scr
    MSConfigStartUp-Software Informer - c:\program files\Software Informer\softinfo.exe
    .
    .
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PC W\Security]
    @Denied: (Full) (Everyone)
    .
    Completion time: 2013-06-26 01:23:20
    ComboFix-quarantined-files.txt 2013-06-25 21:23
    .
    Pre-Run: 6*769*860*608 байт свободно
    Post-Run: 8*010*678*272 байт свободно
    .
    - - End Of File - - 38EBC61124A7648E6417730E402F08DE
    A36C5E4F47E84449FF07ED3517B43A31

    - - - Добавлено - - -

    этот вроде ComboFix.txt
    Изображения Изображения

  27. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Что сейчас с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) Денис Харин, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 23.01.2012, 20:55
    2. ntvdm грузит проц
      От Andrevvvv в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 21.06.2011, 20:31
    3. Автоматически создаются вирус файлы
      От artur в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.08.2010, 13:46
    4. Ответов: 3
      Последнее сообщение: 28.12.2009, 15:59
    5. Создаются файлы в папке widows\prefetch
      От Dogor в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.07.2008, 10:49

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00147 seconds with 22 queries