Показано с 1 по 20 из 20.

Вирус Эбола (заявка № 169658)

  1. #1
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35

    Вирус Эбола

    Добрый вечер,

    Поймал так называемый вирус Эбола после получения письма по эл.почте из, якобы, суда. К письму прилагался файл, якобы, с повесткой в суд, после скачивания и открытия данного файла, вирус осЕл в ОС.
    Проявляется он в том, что все медиафайлы оказались зашифрованными (через файлообменник указал три файла -https://yadi.sk/d/p0iAX6_CcMGLt ). Согласно Вашей инструкции сделал логи с утилит AVZ и Hijackthis.
    ОС - 64 разрядная.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) e603aa, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Спасибо за отклик, логи сканирования утилитами АВЗ и HiJackThis я прикрепил во вложении.
    Удаление вирусов - это всё здорово, но хотелось бы ещё и файлы восстановить, за ранее благодарен.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     TerminateProcessByName('c:\users\Андрей\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №18273.exe');
     QuarantineFile('C:\Users\Андрей\AppData\Roaming\newSI_4668\s_inst.exe','');
     QuarantineFile('C:\Users\Андрей\AppData\Roaming\newSI_20107\s_inst.exe','');
     QuarantineFile('C:\Users\Андрей\AppData\Roaming\newSI_1799\s_inst.exe','');
     QuarantineFile('c:\users\Андрей\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №18273.exe','');
     DeleteFile('c:\users\Андрей\appdata\roaming\microsoft\windows\start menu\programs\startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №18273.exe','32');
     DeleteFile('C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ebola.bmp','32');
     DeleteFile('C:\Users\Андрей\AppData\Roaming\newSI_1799\s_inst.exe','32');
     DeleteFile('C:\Users\Андрей\AppData\Roaming\newSI_20107\s_inst.exe','32');
     DeleteFile('C:\Users\Андрей\AppData\Roaming\newSI_4668\s_inst.exe','32');
     DeleteFile('C:\Windows\Tasks\newSI_4668.job','64');
     DeleteFile('C:\Windows\Tasks\newSI_20107.job','64');
     DeleteFile('C:\Windows\Tasks\newSI_1799.job','64');
     DeleteFile('C:\Windows\system32\Tasks\newSI_1799','64');
     DeleteFile('C:\Windows\system32\Tasks\newSI_20107','64');
     DeleteFileMask('C:\Users\Андрей\AppData\Roaming\newSI_1799', '*', true, ' ');
     DeleteFileMask('C:\Users\Андрей\AppData\Roaming\newSI_20107', '*', true, ' ');
     DeleteFileMask('C:\Users\Андрей\AppData\Roaming\newSI_4668', '*', true, ' ');
     DeleteDirectory('C:\Users\Андрей\AppData\Roaming\newSI_1799');     
     DeleteDirectory('C:\Users\Андрей\AppData\Roaming\newSI_20107');     
     DeleteDirectory('C:\Users\Андрей\AppData\Roaming\newSI_4668');                  
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;       
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1404553041&from=amt&uid=ST750LX003-1AC154_W200BMB2XXXXW200BMB2
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    O3 - Toolbar: SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
    O4 - Startup: ebola.bmp
    O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №18273.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. #5
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Добрый вечер,

    выполнил очередные шаги, прикладываю файлы.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. #7
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Прикрепляю отчет..
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #9
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Аттач приложил..
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Почему скрипт не выполняли из 4 сообщения Хотите чтобы оставшиеся файлы зашифровались? Где карантин?

    C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №18273.exe
    Завершайте этот процесс как можно скорей пока он все файлы на компьютере не зашифровал.

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - Startup: ebola.bmp
    O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №18273.exe
    Сделайте новый лог HiJackThis
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. #11
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Здравствуйте Михаил,

    скрипт из 4-го поста я выполнял, но на всякий случай выполнил ещё раз.
    По поводу карантина: после выполнения скрипта на генерацию карантина, в папке AVZ у меня появляется заархивированный файл quarantine.zip, но почему-то при попытки выполнения Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы вижу "Результат загрузки

    Ошибка загрузки. Данный файл уже был загружен"

    Строчки в HiJackThis пофиксил.
    Изображения Изображения
    Вложения Вложения
    Последний раз редактировалось e603aa; 02.11.2014 в 07:17.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте ComboFix здесь и сохраните в корень диска С.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #13
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35

    Скрытый текст

    ComboFix 14-10-29.01 - Андрей 03.11.2014 21:49:21.1.8 - x64
    Microsoft Windows 7 Домашняя расширенная 6.1.7601.1.1251.7.1049.18.8146.6537 [GMT 3:00]
    Running from: C:\ComboFix.exe
    AV: Microsoft Security Essentials *Enabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
    SP: Microsoft Security Essentials *Enabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
    SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\programdata\Roaming
    c:\windows\PFRO.log
    .
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    -------\Legacy_BD0001
    -------\Legacy_BD0002
    -------\Legacy_RADDRVV3
    -------\Service_raddrvv3
    .
    .
    ((((((((((((((((((((((((( Files Created from 2014-10-03 to 2014-11-03 )))))))))))))))))))))))))))))))
    .
    .
    2014-11-03 18:56 . 2014-11-03 18:56 -------- d-----w- c:\users\Default\AppData\Local\temp
    2014-11-01 20:37 . 2014-09-19 16:02 87368 ----a-w- c:\windows\SysWow64\drivers\BDArKit.sys
    2014-11-01 20:30 . 2014-11-01 20:29 181072 ----a-w- c:\windows\SysWow64\drivers\bd0001.sys
    2014-11-01 20:27 . 2014-11-02 04:19 -------- d-----w- c:\programdata\WinZip
    2014-11-01 20:26 . 2014-11-01 20:26 -------- d-----w- c:\users\Андрей\AppData\Local\Mail.Ru
    2014-11-01 20:26 . 2014-11-01 20:26 -------- d-----w- c:\users\Андрей\AppData\Local\MailRu
    2014-11-01 20:25 . 2014-11-01 20:25 -------- d-----w- c:\users\Андрей\AppData\Roaming\Baidu
    2014-11-01 20:25 . 2014-11-01 20:25 -------- d-----w- c:\users\6B32~1
    2014-11-01 20:25 . 2014-11-01 20:30 -------- d-----w- c:\users\Андрей\AppData\Local\Amigo
    2014-11-01 20:25 . 2014-11-01 20:25 -------- d-----w- c:\program files (x86)\Common Files\Baidu
    2014-11-01 20:25 . 2014-09-10 12:41 174416 ----a-w- c:\windows\system32\drivers\bd0001_1.sys
    2014-11-01 20:25 . 2014-11-01 20:42 -------- d-----w- c:\programdata\Baidu
    2014-11-01 20:24 . 2014-11-01 20:25 -------- d-----w- c:\program files (x86)\Baidu
    2014-10-30 18:00 . 2014-10-30 18:00 -------- d-----w- c:\users\Андрей\AppData\Local\GHISLER
    2014-10-30 08:50 . 2014-10-30 08:50 -------- d-----w- c:\program files\Wireshark
    2014-10-29 19:45 . 2014-10-30 12:49 -------- d-----w- C:\AdwCleaner
    2014-10-29 19:15 . 2014-11-01 19:48 13312 ----a-w- c:\windows\SysWow64\drivers\vdm3mti3.sys
    2014-10-27 11:40 . 2014-10-27 11:40 -------- d-----w- C:\Alkid
    2014-10-25 11:32 . 2014-10-25 11:32 -------- d-----w- c:\users\Андрей\AppData\Local\{6234305E-D17B-4F94-B169-286C3AB9DC47}
    2014-10-25 10:25 . 2014-10-25 10:25 -------- d-----w- c:\users\Андрей\AppData\Roaming\AMS Software
    2014-10-25 10:25 . 2014-10-25 10:25 -------- d-----w- c:\users\Андрей\AppData\Roaming\Opera
    2014-10-25 10:25 . 2014-10-25 10:25 -------- d-----w- c:\users\Андрей\AppData\Roaming\Savedero
    2014-10-25 10:09 . 2014-10-25 10:09 -------- d-----w- c:\program files (x86)\Домашняя Фотостудия
    2014-10-25 09:58 . 2014-10-25 09:58 -------- d-----w- c:\programdata\Doctor Web
    2014-10-22 11:38 . 2014-10-22 11:38 -------- d-----w- c:\program files (x86)\Microsoft ASP.NET
    2014-10-18 05:00 . 2014-09-29 00:58 3198976 ----a-w- c:\windows\system32\win32k.sys
    2014-10-18 04:55 . 2014-09-18 02:00 3241472 ----a-w- c:\windows\system32\msi.dll
    2014-10-18 04:54 . 2014-09-13 01:58 77312 ----a-w- c:\windows\system32\packager.dll
    2014-10-18 04:54 . 2014-09-13 01:40 67072 ----a-w- c:\windows\SysWow64\packager.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2014-10-30 11:25 . 2013-03-06 08:38 275080 ------w- c:\windows\system32\MpSigStub.exe
    2014-10-22 11:31 . 2013-03-24 17:16 103265616 ----a-w- c:\windows\system32\MRT.exe
    2014-10-01 18:28 . 2014-10-01 18:28 98216 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
    2014-09-25 02:08 . 2014-10-01 16:46 371712 ----a-w- c:\windows\system32\qdvd.dll
    2014-09-25 01:40 . 2014-10-01 16:46 519680 ----a-w- c:\windows\SysWow64\qdvd.dll
    2014-09-17 02:13 . 2014-09-21 09:07 1291280 ----a-w- c:\windows\SysWow64\nvspbridge.dll
    2014-09-17 02:13 . 2013-10-30 05:58 2193560 ----a-w- c:\windows\SysWow64\nvspcap.dll
    2014-09-17 02:12 . 2013-10-30 05:58 2799784 ----a-w- c:\windows\system32\nvspcap64.dll
    2014-09-17 02:12 . 2014-09-21 09:07 1715224 ----a-w- c:\windows\system32\nvspbridge64.dll
    2014-09-09 22:11 . 2014-09-24 16:33 2048 ----a-w- c:\windows\system32\tzres.dll
    2014-09-09 21:47 . 2014-09-24 16:33 2048 ----a-w- c:\windows\SysWow64\tzres.dll
    2014-09-04 19:14 . 2013-10-30 05:57 38048 ----a-w- c:\windows\system32\drivers\nvvad64v.sys
    2014-09-04 19:14 . 2013-10-30 05:57 32416 ----a-w- c:\windows\SysWow64\nvaudcap32v.dll
    2014-09-04 19:14 . 2013-10-22 07:11 34976 ----a-w- c:\windows\system32\nvaudcap64v.dll
    2014-08-23 02:07 . 2014-09-20 08:56 404480 ----a-w- c:\windows\system32\gdi32.dll
    2014-08-23 01:45 . 2014-09-20 08:56 311808 ----a-w- c:\windows\SysWow64\gdi32.dll
    2014-08-06 09:00 . 2011-03-28 14:36 23256 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    2014-07-05 09:46 . 2014-07-05 09:46 40 ----a-w- c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]
    "GoogleChromeAutoLaunch_E03545E65238BC4FE33352210F6926B7"="c:\program files (x86)\Google\Chrome\Application\chrome.exe" [2014-10-22 854344]
    "pcket_x86"="c:\program files (x86)\BaiduEx\uninit.exe" [2014-10-30 643130]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2014-07-25 256896]
    .
    c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
    AsusVibeLauncher.lnk - c:\program files (x86)\ASUS\AsusVibe\AsusVibeLauncher.exe /start [2012-6-28 549040]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
    @=""
    .
    R1 vdm3mti3;AVZ-BC Kernel Driver;c:\windows\system32\Drivers\vdm3mti3.sys;c:\windows\SYSNATIVE\Drivers\vdm3mti3.sys [x]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
    R2 HHLflt;HHLflt;c:\windows\System32\Drivers\HHLflt.sys;c:\windows\SYSNATIVE\Drivers\HHLflt.sys [x]
    R2 RServer3;Radmin Server V3;c:\windows\SysWOW64\rserver30\RServer3.exe;c:\windows\SysWOW64\rserver30\RServer3.exe [x]
    R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe;c:\program files (x86)\Skype\Updater\Updater.exe [x]
    R3 AMPPALP;Протокол Intel® Centrino® Wireless Bluetooth® + High Speed;c:\windows\system32\DRIVERS\amppal.sys;c:\windows\SYSNATIVE\DRIVERS\amppal.sys [x]
    R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS;c:\windows\SYSNATIVE\drivers\AmUStor.SYS [x]
    R3 Andbus;LGE Android Platform Composite USB Device;c:\windows\system32\DRIVERS\lgandbus64.sys;c:\windows\SYSNATIVE\DRIVERS\lgandbus64.sys [x]
    R3 AndDiag;LGE Android Platform USB Serial Port;c:\windows\system32\DRIVERS\lganddiag64.sys;c:\windows\SYSNATIVE\DRIVERS\lganddiag64.sys [x]
    R3 AndGps;LGE Android Platform USB GPS NMEA Port;c:\windows\system32\DRIVERS\lgandgps64.sys;c:\windows\SYSNATIVE\DRIVERS\lgandgps64.sys [x]
    R3 ANDModem;LGE Android Platform USB Modem;c:\windows\system32\DRIVERS\lgandmodem64.sys;c:\windows\SYSNATIVE\DRIVERS\lgandmodem64.sys [x]
    R3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;e:\i386\AsPrOb64.sys;e:\i386\AsPrOb64.sys [x]
    R3 Bluetooth Media Service;Bluetooth Media Service;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe [x]
    R3 CH341SER_A64;CH341SER_A64;c:\windows\system32\Drivers\CH341S64.SYS;c:\windows\SYSNATIVE\Drivers\CH341S64.SYS [x]
    R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\drivers\ssudbus.sys;c:\windows\SYSNATIVE\drivers\ssudbus.sys [x]
    R3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
    R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys;c:\windows\SYSNATIVE\DRIVERS\ew_hwusbdev.sys [x]
    R3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys;c:\windows\SYSNATIVE\DRIVERS\ew_usbenumfilter.sys [x]
    R3 ewusbmbb;HUAWEI USB-WWAN miniport;c:\windows\system32\DRIVERS\ewusbwwan.sys;c:\windows\SYSNATIVE\DRIVERS\ewusbwwan.sys [x]
    R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys;c:\windows\SYSNATIVE\DRIVERS\ew_jubusenum.sys [x]
    R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
    R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [x]
    R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys;c:\windows\SYSNATIVE\DRIVERS\SiSG664.sys [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
    R3 TsUsbGD;%TsUsbGD.DeviceDesc.Generic%;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
    R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
    R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
    S0 iusb3hcs;Драйвер хост-контроллера и коммутатора Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
    S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys;c:\windows\SYSNATIVE\Drivers\PxHlpa64.sys [x]
    S1 ATKWMIACPIIO;ATKWMIACPI Driver;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys;c:\program files (x86)\ASUS\ATK Package\ATK WMIACPI\atkwmiacpi64.sys [x]
    S2 AMPPALR3;Intel® Centrino® Wireless Bluetooth® + High Speed Service;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe [x]
    S2 ASMMAP64;ASMMAP64;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys;c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys [x]
    S2 ASUS InstantOn;ASUS InstantOn Service;c:\program files (x86)\ASUS\InstantOn for NB\InsOnSrv.exe;c:\program files (x86)\ASUS\InstantOn for NB\InsOnSrv.exe [x]
    S2 AsusUacSvc;Asus process privilege adjust service;c:\program files\Asus\Rotation Desktop for G Series\AsusUacSvc.exe;c:\program files\Asus\Rotation Desktop for G Series\AsusUacSvc.exe [x]
    S2 Bluetooth Device Monitor;Bluetooth Device Monitor;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe [x]
    S2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe [x]
    S2 BTHSSecurityMgr;Intel(R) Centrino(R) Wireless Bluetooth(R) + High Speed Security Service;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe [x]
    S2 GCSR4;Nokia GCS;c:\nokiamgr\System32\GCSServer.exe;c:\nokiamgr\System32\GCSServer.exe [x]
    S2 GCSSYNC;Nokia GCS Sync;c:\nokiamgr\System32\gcssync.exe;c:\nokiamgr\System32\gcssync.exe [x]
    S2 GfExperienceService;NVIDIA GeForce Experience Service;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [x]
    S2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
    S2 Intel(R) ME Service;Intel(R) ME Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe [x]
    S2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [x]
    S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys;c:\windows\SYSNATIVE\drivers\npf.sys [x]
    S2 NvNetworkService;NVIDIA Network Service;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [x]
    S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [x]
    S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
    S2 TeamViewer9;TeamViewer 9;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe [x]
    S2 TNMS-CT Server;TNMS-CT Server;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Bin\CTStarterDemon.exe;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Bin\CTStarterDemon.exe [x]
    S2 TNMS Trap Handler;TNMS Trap Handler;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Interface\SNMP\TrapHandler.exe;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Interface\SNMP\TrapHandler.exe [x]
    S2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
    S2 VIAKaraokeService;VIA Karaoke digital mixer Service;c:\windows\system32\viakaraokesrv.exe;c:\windows\SYSNATIVE\viakaraokesrv.exe [x]
    S2 ZeroConfigService;Intel(R) PROSet/Wireless Zero Configuration Service;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe [x]
    S3 AiCharger;ASUS Charger Driver;c:\windows\system32\DRIVERS\AiCharger.sys;c:\windows\SYSNATIVE\DRIVERS\AiCharger.sys [x]
    S3 AMPPAL;Виртуальный адаптер Intel® Centrino® Wireless Bluetooth® + High Speed;c:\windows\system32\DRIVERS\AMPPAL.sys;c:\windows\SYSNATIVE\DRIVERS\AMPPAL.sys [x]
    S3 btmaudio;Intel Bluetooth Audio Service;c:\windows\system32\drivers\btmaud.sys;c:\windows\SYSNATIVE\drivers\btmaud.sys [x]
    S3 btmaux;Intel Bluetooth Auxiliary Service;c:\windows\system32\DRIVERS\btmaux.sys;c:\windows\SYSNATIVE\DRIVERS\btmaux.sys [x]
    S3 btmhsf;btmhsf;c:\windows\system32\DRIVERS\btmhsf.sys;c:\windows\SYSNATIVE\DRIVERS\btmhsf.sys [x]
    S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys;c:\windows\SYSNATIVE\DRIVERS\ETD.sys [x]
    S3 ibtfltcoex;ibtfltcoex;c:\windows\system32\DRIVERS\iBtFltCoex.sys;c:\windows\SYSNATIVE\DRIVERS\iBtFltCoex.sys [x]
    S3 iusb3hub;Драйвер концентратора Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
    S3 iusb3xhc;Драйвер расширяемого хост-контроллера Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
    S3 L1C;NDIS Miniport Driver for Atheros AR81xx PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys;c:\windows\SYSNATIVE\DRIVERS\L1C62x64.sys [x]
    S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [x]
    S3 NvStUSB;NVIDIA Stereoscopic 3D USB driver;c:\windows\system32\DRIVERS\nvstusb.sys;c:\windows\SYSNATIVE\DRIVERS\nvstusb.sys [x]
    S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad64v.sys;c:\windows\SYSNATIVE\drivers\nvvad64v.sys [x]
    S3 RCTSrv;RCTSrv;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Bin\RCTSrv.exe;c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Bin\RCTSrv.exe [x]
    S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys;c:\windows\SYSNATIVE\drivers\viahduaa.sys [x]
    .
    .
    --- Other Services/Drivers In Memory ---
    .
    *NewlyCreated* - WS2IFSL
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2014-10-29 04:19 1089352 ----a-w- c:\program files (x86)\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
    .
    Contents of the 'Scheduled Tasks' folder
    .
    2014-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-06-25 17:47]
    .
    2014-11-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-06-25 17:47]
    .
    2014-11-03 c:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
    - c:\program files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25 09:41]
    .
    2014-11-03 c:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
    - c:\program files (x86)\Intel\Intel(R) ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25 09:41]
    .
    .
    --------- X64 Entries -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    [HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    [HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_U]
    @="{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_U]
    @="{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}"
    [HKEY_CLASSES_ROOT\CLSID\{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
    @="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
    [HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
    @="{64174815-8D98-4CE6-8646-4C039977D808}"
    [HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\!AsusWSShellExt_U]
    @="{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}"
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_U]
    @="{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}"
    [HKEY_CLASSES_ROOT\CLSID\{1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D}]
    2012-09-27 07:15 1472512 ----a-w- c:\program files (x86)\ASUS\WebStorage Sync Agent\1.1.18.159\AsusWSShellExt64.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BTMTrayAgent"="c:\program files (x86)\Intel\Bluetooth\btmshell.dll" [2011-12-19 11406608]
    "AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2011-05-26 361984]
    "ShadowPlay"="c:\windows\system32\nvspcap64.dll" [2014-09-17 2799784]
    "NvBackend"="c:\program files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe" [2014-09-17 2460488]
    .
    ------- Supplementary Scan -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://www.yandex.ru/?clid=49136
    uDefault_Search_URL = hxxp://www.google.com
    mDefault_Search_URL = hxxp://www.google.com
    mDefault_Page_URL = hxxp://www.google.com
    mStart Page = hxxp://www.google.com
    mLocal Page = c:\windows\SysWOW64\blank.htm
    mSearch Page = hxxp://www.google.com
    uInternet Settings,ProxyServer = 192.168.110.77:80
    uSearchAssistant = hxxp://www.google.com
    IE: &Экспорт в Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 192.168.0.1 192.168.0.1
    .
    - - - - ORPHANS REMOVED - - - -
    .
    Toolbar-Locked - (no file)
    Wow6432Node-HKCU-Run-pcket_x64 - c:\program files\BaiduEx\uninit.exe
    HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
    Toolbar-Locked - (no file)
    HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
    AddRemove-SLD16-SLT16 server registration (appl. Rel.2.3) - c:\windows\system32\UninstLCT-SLSrv_2.57.isu
    AddRemove-SLD16-SLT16 server registration (appl. Rel.2.4) - c:\windows\system32\UninstLCT-SLSrv_2.60.isu
    .
    .
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
    @="?????????????????? v1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
    @="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
    @="?????????????????? v2"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
    @="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Other Running Processes ------------------------
    .
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ASLDRSrv.exe
    c:\program files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe
    c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    c:\progra~2\NOKIAS~1\TNMSCT~1\Bin\CTServer.exe
    c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Interface\SNMP\SnmpEmlSrv.exe
    c:\program files (x86)\Nokia Siemens Networks\TNMS CT\Interface\SNMP\UDPConnector.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\HControl.exe
    c:\program files (x86)\ASUS\InstantOn for NB\InsOnWMI.exe
    c:\program files (x86)\ASUS\USBChargerPlus\USBChargerPlus.exe
    c:\program files (x86)\TeamViewer\Version9\TeamViewer.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\ATKOSD.exe
    c:\program files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\KBFiltr.exe
    c:\program files (x86)\ASUS\ATK Package\ATK Hotkey\WDC.exe
    c:\program files (x86)\TeamViewer\Version9\tv_w32.exe
    c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
    .
    **************************************************************************
    .
    Completion time: 2014-11-03 22:01:44 - machine was rebooted
    ComboFix-quarantined-files.txt 2014-11-03 19:01
    .
    Pre-Run: 137*867*046*912 байт свободно
    Post-Run: 137*063*878*656 байт свободно
    .
    - - End Of File - - 8B039EAC4653FA5B50000EB411971306
    Скрыть
    Последний раз редактировалось mike 1; 03.11.2014 в 23:39.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Прикрепите лог в виде текстового файла.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. #15
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    В текстовом виде
    Вложения Вложения

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    c:\windows\SysWow64\drivers\BDArKit.sys
    c:\windows\SysWow64\drivers\bd0001.sys
    c:\windows\system32\drivers\bd0001_1.sys
    c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    
    Driver::
    
    Folder::
    c:\users\Андрей\AppData\Roaming\Baidu
    c:\program files (x86)\Common Files\Baidu
    c:\programdata\Baidu
    c:\program files (x86)\Baidu
    c:\program files (x86)\BaiduEx
    
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "pcket_x86"=-
    
    FileLook::
    
    DirLook::
    c:\users\Андрей\AppData\Roaming\Savedero
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  18. #17
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Прикрепил
    Вложения Вложения

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    c:\windows\SysWow64\drivers\BDArKit.sys
    c:\windows\SysWow64\drivers\bd0001.sys
    c:\windows\system32\drivers\bd0001_1.sys
    c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    
    Driver::
    
    Folder::
    c:\users\Андрей\AppData\Roaming\Baidu
    c:\users\Андрей\AppData\Roaming\Savedero
    
    Registry::
    
    FileLook::
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  20. #19
    Junior Member Репутация
    Регистрация
    25.10.2014
    Сообщений
    10
    Вес репутации
    35
    Приаттачил
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



    Скачайте OTCleanIt, запустите, нажмите Clean up

    Удалите вручную эти файлы и папки:

    c:\windows\SysWow64\drivers\BDArKit.sys
    c:\windows\SysWow64\drivers\bd0001.sys
    c:\users\Андрей\AppData\Roaming\Baidu - папка
    c:\windows\system32\drivers\bd0001_1.sys
    c:\users\Андрей\AppData\Roaming\Savedero - папка
    c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    С расшифровкой помочь не сможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Подхватил вирус эбола.
    От Алексей8485 в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.10.2014, 12:18
  2. Вирус Эбола
    От МариЯ в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 17.10.2014, 19:37
  3. Помогите,Вирус Эбола
    От Анна24 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 17.10.2014, 15:44
  4. Вирус Эбола зашифровал файлы
    От Ирина Малинина в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 10.10.2014, 12:40
  5. Компьютерный вирус эбола
    От Giffizone в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 09.10.2014, 15:45

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01120 seconds with 18 queries