Вирус от " судебных приставов"

[Антонина39]

Возможно в этот раз быстрее сделается.

Когда сканировал TDSkiller утилита нашла угрозу, ее надо было удалить? Ещё когда делается лог gmer невозможно открыть браузер, приходится писать с планшета.

[mike 1]

Когда сканировал TDSkiller утилита нашла угрозу, ее надо было удалить? Ещё когда делается лог gmer невозможно открыть браузер, приходится писать с планшета.

1. Да.

2. Лучше все сторонние программы закрыть на момент сбора лога GMER.

[Антонина39]

вот новый

[mike 1]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится x293gqu8.exe случайное имя утилиты (gmer)

Код:

x293gqu8.exe -del file "C:\WINDOWS\system32\drivers\SKYNETqqowqppp.sys"
x293gqu8.exe -del file "C:\WINDOWS\system32\SKYNETylcxvpfj.dll"
x293gqu8.exe -del file "C:\WINDOWS\system32\pswilc.dll"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\velkhgn"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\velkhgn"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETkinmecrj"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\velkhgn"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\velkhgn"
x293gqu8.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\SKYNETkinmecrj"
x293gqu8.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[Антонина39]

как просили, пожалуйста

[mike 1]

Скачайте ComboFix здесь и сохраните в корень системного диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[Антонина39]

Появилось синее окно, attemping to create a new system restore point, (браузер закрыт пишу с планшета) за ним появилось второе окно microsoft windows recovery console, ниже написано- this mashine does not have the microsoft windows recovery console installed. Alternately an existing installation of the recovery console may be present but requires updating..... Да нет согласиться?

- - - Добавлено - - -

Скрытый текст

ComboFix 14-04-30.01 - Пользователь 02.05.2014 1755.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2047.1259 [GMT 4:00]
Running from: C:\ComboFix.exe
AV: ESET Smart Security 4.0 *Disabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Персональный файервол ESET *Disabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Пользователь\Application Data\BE1Ngd8hig.txt
c:\documents and settings\Пользователь\Application Data\kegj1iEJbH.txt
c:\documents and settings\Пользователь\Application Data\LH0LEEkfKg.txt
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome.manifest
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\bar.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\buttons.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\constants.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\events.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\globals.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\htmldialog.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\htmldialog.xul
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\htmldropdown.xul
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\init.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\engine_images.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\engine_maps.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\engine_news.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\engine_videos.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\engine_web.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_amazon.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_ebay.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_facebook.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_games.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_msn.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_shopping.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_travel.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\icon_twitter.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\images\startnow_logo.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\[email protected]_DE91
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\index.html
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\NotIE6.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\OnlyIE6.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\SearchProtectIcon.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\Web.config
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\window.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\protect\window.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\index.html
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\LeftImage.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\NotIE6.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\OnlyIE6.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\window.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\reactivate\window.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\chevron_button.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_button_hover.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_button_normal.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_dropdown_button_normal.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_input_background.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_input_left.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\searchbox_input_middle.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\separator.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\splitter.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ff_hover_c.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_hover_c.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_hover_l.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_hover_r.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_normal_c.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_normal_l.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\skin\toolbarbutton_ie_normal_r.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\content\resources\[email protected]_DE91
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\locale\en-US\{5911488E-9D1E-40ec-8CBB-06B231CC153F}.dtd
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\chrome\skin\overlay.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\install.rdf
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\chrome.manifest
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\funmoods.css
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\arwDwn.gif
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ae.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\bg.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ch.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\cn.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\cz.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\de.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\eg.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\en.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\es.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\fr.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\gr.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\he.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\il.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\it.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ja.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\jp.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\nl.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\no.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\pl.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\pt.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ro.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ru.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\sa.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\se.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\sv.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\tr.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\ua.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\flgs\us.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\help_16.gif
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\home.gif
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\logo.png
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\privecy_16_hot.gif
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\imgs\tellafriend.gif
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\loader.xul
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\mtstart.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\tmplt.js
c:\documents and settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]\content\uninsthk.js
c:\documents and settings\Пользователь\Application Data\PriceGong
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\1.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\2229.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\4489.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\a.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\b.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\c.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\d.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\e.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\f.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\g.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\h.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\i.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\j.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\k.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\l.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\m.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\[email protected]_DE91
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\n.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\o.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\p.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\q.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\r.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\s.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\t.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\u.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\v.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\w.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\wlu.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\x.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\y.txt
c:\documents and settings\Пользователь\Application Data\PriceGong\Data\z.txt
c:\documents and settings\Пользователь\WINDOWS
c:\documents and settings\All Users\Application Data\TEMP
c:\program files\Funmoods
c:\program files\Funmoods\funmoods\1.5.11.16\funmoodsOEM.crx
c:\program files\StartNow Toolbar
c:\program files\StartNow Toolbar\Resources\images\engine_images.png
c:\program files\StartNow Toolbar\Resources\images\engine_maps.png
c:\program files\StartNow Toolbar\Resources\images\engine_news.png
c:\program files\StartNow Toolbar\Resources\images\engine_videos.png
c:\program files\StartNow Toolbar\Resources\images\engine_web.png
c:\program files\StartNow Toolbar\Resources\images\icon_amazon.png
c:\program files\StartNow Toolbar\Resources\images\icon_ebay.png
c:\program files\StartNow Toolbar\Resources\images\icon_facebook.png
c:\program files\StartNow Toolbar\Resources\images\icon_games.png
c:\program files\StartNow Toolbar\Resources\images\icon_msn.png
c:\program files\StartNow Toolbar\Resources\images\icon_shopping.png
c:\program files\StartNow Toolbar\Resources\images\icon_travel.png
c:\program files\StartNow Toolbar\Resources\images\icon_twitter.png
c:\program files\StartNow Toolbar\Resources\images\startnow_logo.png
c:\program files\StartNow Toolbar\Resources\[email protected]_DE91
c:\program files\StartNow Toolbar\Resources\protect\index.html
c:\program files\StartNow Toolbar\Resources\protect\NotIE6.css
c:\program files\StartNow Toolbar\Resources\protect\OnlyIE6.css
c:\program files\StartNow Toolbar\Resources\protect\SearchProtectIcon.png
c:\program files\StartNow Toolbar\Resources\protect\window.css
c:\program files\StartNow Toolbar\Resources\protect\window.js
c:\program files\StartNow Toolbar\Resources\reactivate\index.html
c:\program files\StartNow Toolbar\Resources\reactivate\LeftImage.png
c:\program files\StartNow Toolbar\Resources\reactivate\NotIE6.css
c:\program files\StartNow Toolbar\Resources\reactivate\OnlyIE6.css
c:\program files\StartNow Toolbar\Resources\reactivate\window.css
c:\program files\StartNow Toolbar\Resources\reactivate\window.js
c:\program files\StartNow Toolbar\Resources\skin\chevron_button.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_button_hover.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_button_normal.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_dropdown_button_normal.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_background.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_left.png
c:\program files\StartNow Toolbar\Resources\skin\searchbox_input_middle.png
c:\program files\StartNow Toolbar\Resources\skin\separator.png
c:\program files\StartNow Toolbar\Resources\skin\splitter.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ff_hover_c.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_c.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_l.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_hover_r.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_c.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_l.png
c:\program files\StartNow Toolbar\Resources\skin\toolbarbutton_ie_normal_r.png
c:\program files\StartNow Toolbar\Resources\[email protected]_DE91
c:\program files\StartNow Toolbar\Resources\[email protected]_DE91
c:\program files\StartNow Toolbar\uninstall.dat
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\sys
D:\install.exe
.
.
((((((((((((((((((((((((( Files Created from 2014-04-02 to 2014-05-02 )))))))))))))))))))))))))))))))
.
.
2014-05-01 17:00 . 2014-05-01 17:26 -------- d-----w- C:\TDSSKiller_Quarantine
2014-05-01 08:51 . 2014-05-01 08:51 -------- d-----w- c:\program files\jZip
2014-05-01 05:41 . 2014-05-01 07:34 -------- d-----w- C:\dec
2014-04-23 16:53 . 2014-05-02 07:00 -------- d-----w- c:\documents and settings\Пользователь\Local Settings\Application Data\Htc
2014-04-22 15:55 . 2014-04-22 20:33 -------- d-----w- c:\documents and settings\Пользователь\.android
2014-04-22 15:54 . 2014-04-22 18:14 -------- d-----w- C:\android
2014-04-22 15:39 . 2014-04-23 16:53 -------- d-----w- c:\documents and settings\Пользователь\Application Data\HTC
2014-04-22 15:36 . 2009-06-10 11:49 24576 ----a-w- c:\windows\system32\drivers\ANDROIDUSB.sys
2014-04-19 17:15 . 2014-04-14 15:47 145408 ----a-w- c:\windows\system32\javacpl.cpl
2014-04-19 17:15 . 2014-04-14 16:13 94632 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-03-06 17:58 . 2009-01-29 18:15 920064 ----a-w- c:\windows\system32\wininet.dll
2014-03-06 17:58 . 2009-01-29 18:14 1469440 ------w- c:\windows\system32\inetcpl.cpl
2014-03-06 17:58 . 2009-01-24 14:23 43520 ------w- c:\windows\system32\licmgr10.dll
2014-03-06 17:58 . 2009-01-24 14:23 18944 ----a-w- c:\windows\system32\corpol.dll
2014-03-06 00:50 . 2009-01-24 14:23 385024 ------w- c:\windows\system32\html.iec
2014-03-01 07:28 . 2012-10-10 13:33 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2014-03-01 07:28 . 2012-06-16 08:02 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2014-02-26 23:28 . 2014-03-13 13:09 13312 ------w- c:\windows\system32\xp_eos.exe
2014-02-07 06:36 . 2009-01-20 17:36 1879168 ----a-w- c:\windows\system32\win32k.sys
2014-02-05 08:55 . 2008-04-15 12:00 563200 ----a-w- c:\windows\system32\qedit.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-01-29 18:14 . C927875EE475355CB4FC0C4DE5E01AB9 . 815616 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2009-01-29 . FB5E7B8E94D5BF7A2B1F2DFBAAF50052 . 2187264 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
[-] 2008-04-15 . 4CDEBF40AD7C2230B52BB456FE3E382F . 215040 . . [5.1.2600.5512] . . c:\windows\regedit.exe
.
[-] 2009-01-29 . 821117550E30CC46CBD49BD981A64088 . 37376 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
[-] 2009-01-29 . 40102AB15A830BBD772900D366669DA6 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"louderit.exe"="c:\program files\louderit\LouderIt.exe" [2007-12-23 40960]
"AlterGeoUpdater"="c:\documents and settings\All Users\Application Data\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe" [2014-04-10 29696]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]
"uTorrent"="c:\documents and settings\Пользователь\Application Data\uTorrent\uTorrent.exe" [2014-04-26 1266520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-08-26 16851456]
"KatMouse"="c:\program files\KatMouse\KatMouse.exe" [2007-05-30 50688]
"Vistadrv"="c:\program files\VistaDrive\vsdrv.exe" [2006-07-30 121089]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-09-11 2054360]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 286720]
"Nikon Transfer Monitor"="c:\program files\Common Files\Nikon\Monitor\NkMonitor.exe" [2009-09-15 479232]
"AlterGeoUpdater"="c:\program files\AlterGeo\Html5 geolocation provider\html5locsvc.exe" [2012-01-27 26656]
"MAgent"="c:\program files\Mail.Ru\Agent\magent.exe" [2012-02-17 22423616]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-07-02 254336]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2013-11-11 15711008]
"NvMediaCenter"="NvMCTray.dll" [2013-11-11 209184]
"nwiz"="c:\program files\NVIDIA Corporation\nview\nwiz.exe" [2013-11-11 2602784]
"Nvtmru"="c:\program files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" [2013-11-08 1028384]
"HTC Sync Loader"="c:\program files\HTC\HTC Sync 3.0\htcUPCTLoader.exe" [2012-04-17 651264]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-01-29 37376]
"louderit.exe"="c:\program files\louderit\LouderIt.exe" [2007-12-23 40960]
"AlterGeoUpdater"="c:\documents and settings\All Users\Application Data\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe" [2014-04-10 29696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"IE7_012"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\Пользователь\Главное меню\Программы\Автозагрузка\
africa.bmp [2014-5-1 311406]
.
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\
TotalMedia Server.lnk - c:\program files\ArcSoft\TotalMedia Theatre 5\TotalMedia Server\TM Server.exe [2010-12-20 519744]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\prio.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^BTTray.lnk]
backup=c:\windows\pss\BTTray.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailRuUpdater
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2008-07-24 15:02 490952 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MAgent]
2012-02-17 16:27 22423616 ----a-w- c:\program files\Mail.Ru\Agent\magent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2013-04-20 04:40 802136 ----a-w- c:\program files\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\IP-TV Player\\IpTvPlayer.exe"=
"c:\\Program Files\\Mail.Ru\\Agent\\magent.exe"=
"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Documents and Settings\\Пользователь\\Application Data\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NVIDIA Update Core\\daemonu.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9050:TCP"= 9050:TCPisabled:qscfse
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [30.03.2009 21:10 436792]
R1 ArcSec;ArcSec;c:\windows\system32\drivers\ArcSec.sys [21.09.2010 9:10 192504]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [11.09.2009 8:23 108792]
R2 am7pro;Art*Money*Pro7.41;c:\games\ArtMoney\am741.sys [20.07.2013 14:56 8192]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [11.09.2009 8:24 735960]
R2 PassThru Service;Internet Pass-Through Service;c:\program files\HTC\Internet Pass-Through\PassThruSvr.exe [07.12.2012 18:27 167424]
S2 Freemake Improver;Freemake Improver;c:\documents and settings\All Users\Application Data\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [06.05.2012 21:06 96768]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [23.10.2013 8:15 172192]
S3 CisUtMonitor;CisUtMonitor;c:\windows\system32\drivers\CisUtMonitor.sys [31.10.2013 22:58 27600]
S3 HTCAND32;HTC Device Driver;c:\windows\system32\drivers\ANDROIDUSB.sys [22.04.2014 19:36 24576]
S3 htcnprot;HTC NDIS Protocol Driver;c:\windows\system32\drivers\htcnprot.sys [22.06.2010 18:01 21248]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [02.05.2011 20:26 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [02.05.2011 20:26 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [02.05.2011 20:26 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [02.05.2011 20:26 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [02.05.2011 20:26 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [02.05.2011 20:26 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [02.05.2011 20:26 115752]
S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [28.03.2009 15:37 61536]
S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [28.03.2009 15:37 9360]
S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [28.03.2009 15:37 97088]
S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [28.03.2009 15:37 88624]
S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [28.03.2009 15:37 18704]
S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [28.03.2009 15:37 86432]
S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [28.03.2009 15:37 90800]
S3 sscebus;SAMSUNG USB Composite Device V2 driver (WDM);c:\windows\system32\drivers\sscebus.sys [28.07.2013 0:22 98560]
S3 sscemdfl;SAMSUNG Mobile Modem V2 Filter;c:\windows\system32\drivers\sscemdfl.sys [28.07.2013 0:22 14848]
S3 sscemdm;SAMSUNG Mobile Modem V2 Drivers;c:\windows\system32\drivers\sscemdm.sys [28.07.2013 0:22 123648]
S3 ssceserd;SAMSUNG Mobile Modem Diagnostic Serial Port V2 (WDM);c:\windows\system32\drivers\ssceserd.sys [28.07.2013 0:23 100352]
.
--- Other Services/Drivers In Memory ---
.
*Deregistered* - uwtdapog
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
velkhgn
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\NewUserCustom]
2009-03-08 00:32 128512 ----a-w- c:\windows\system32\advpack.dll
.
Contents of the 'Scheduled Tasks' folder
.
2014-05-02 c:\windows\Tasks\AlterGeoUpdaterS-1-5-18.job
- c:\program files\AlterGeo\Html5 geolocation provider\html5locsvc.exe [2012-01-27 14:14]
.
2014-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-20 17:39]
.
2014-05-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-10-20 17:39]
.
2014-05-02 c:\windows\Tasks\Быстрое решение проблем.job
- c:\program files\TuneUp_Utilities_2009\OneClickStarter.exe [2009-06-25 17:36]
.
2014-04-08 c:\windows\Tasks\Уведомление о завершении поддержки Microsoft Windows XP ежемесячно.job
- c:\windows\system32\xp_eos.exe [2014-03-13 23:28]
.
2014-05-02 c:\windows\Tasks\Уведомлением о завершении поддержки Microsoft Windows XP при входе.job
- c:\windows\system32\xp_eos.exe [2014-03-13 23:28]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2396973&CUI=UN14876629001725712
uInternet Settings,ProxyOverride = *.local
IE: c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{8DEC4B69-27C4-405D-A37D-8D45C83F66AB} - (no file)
SafeBoot-07877713.sys
SafeBoot-33562543.sys
MSConfigStartUp-Guard.Mail.ru - (no file)
AddRemove-Windows.Doctor.2.7.7 - c:\program files\Windows Doctor\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2014-05-02 17:27
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(240)
c:\windows\system32\prio.dll
c:\windows\system32\cscui.dll
c:\windows\system32\l3codeca.acm
.
- - - - - - - > 'lsass.exe'(744)
c:\windows\system32\prio.dll
.
Completion time: 2014-05-02 17:29:41
ComboFix-quarantined-files.txt 2014-05-02 13:29
.
Pre-Run: 8*985*702*400 байт свободно
Post-Run: 9*111*838*720 байт свободно
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
.
- - End Of File - - 4BBE44E614F061337B6535134E924E03
8F558EB6672622401DA993E1E865C861

Скрыть

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
c:\documents and settings\Пользователь\Главное меню\Программы\Автозагрузка\africa.bmp

Driver::

NetSvc::
velkhgn

Folder::

Registry::

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[thyrex]

Сказано ведь

прикрепите его к сообщению

А Вы целую простыню выкладываете в сообщение

[Антонина39]

Сказано ведь

А Вы целую простыню выкладываете в сообщение

Объясните пожалуйста как это сделать.

- - - Добавлено - - -

так нормально будет?

- - - Добавлено - - -

скажите пожалуйста, реально вылечить эту гадость?

[mike 1]

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - Startup: africa.bmp

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9050:TCP"=-

DDS::
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2396973&CUI=UN14876629001725712

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Антонина39]

не чего не получается, начинается процесс, потом все пропадает. На этом все заканчивается.

- - - Добавлено - - -

не чего не получается, начинается процесс, потом все пропадает. На этом все заканчивается.
Жалуется что то на nod 32.

- - - Добавлено - - -

появляется CFScript Name Arror: The name CFScript appears to be incorrectly spelt, дальше этого не идет.

[mike 1]

Имя текстовому файлу в который скопировали скрипт задали правильно? Антивирус отключали?

[Антонина39]

все делала как сказали, во время процесса появляются звуковые сигналы, один коротки сигнал, затем три других.

- - - Добавлено - - -

Изначально, ругалась, на нод 32, потом продолжилось как обычно, без изменений.

[mike 1]

И все таки судя по сообщению ошибки из 32 сообщения имя текстового документа похоже содержит ошибки. Убедитесь что имя файла написано английскими буквами.

во время процесса появляются звуковые сигналы, один коротки сигнал, затем три других.

Это я не очень понял. Какие звуковые сигналы имелись в виду?

[Антонина39]

И все таки судя по сообщению ошибки из 32 сообщения имя текстового документа похоже содержит ошибки. Убедитесь что имя файла написано английскими буквами.


Это я не очень понял. Какие звуковые сигналы имелись в виду?

Написала не правильно по два коротких писка, два раза, звук из системника.
Повторила все заново, в конце появляется синее окно please wait. ComboFix is preparing to run.
И выскакивает сообщение CFScript name error. Were you trying to run CFScript? The name, CFScript appears to be incorrecrly spelt.
( Звуки пропали)

- - - Добавлено - - -

Прошу прощения, за свою невнимательность. Все получилось. Вот лог.

[mike 1]

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O4 - Startup: africa.bmp

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

В остальном логи в порядке. Дешифратором для этой версии пока никто не поделился.

[Антонина39]

Все сделала.
Какие у меня теперь варианты?
1 Ждать?
2 Сносить систему( все удалять) ставить винду заново?
3 Или что то другое?
И еще если я подключу флешку к компу, на нее вирус попадет?

- - - Добавлено - - -

Люди подскажите пожалуйста, дальше что делать?

[mike 1]

1. Можно подождать пока появится дешифратор для вашей версии, но шансов что он появится немного.

2. Вирус удален. Снос системы не поможет вернуть файлы.

3. Нет не попадет.

[Антонина39]

1. Можно подождать пока появится дешифратор для вашей версии, но шансов что он появится немного.

2. Вирус удален. Снос системы не поможет вернуть файлы.

3. Нет не попадет.

Большое спасибо!