Пропали значки с рабочего стола

[Dhoine]

Сегодня после перезагрузки пропали все значки с рабочего стола и перестал работать райтклик на рабочем столе. (Думал случайно отключил отображение ярлыков). Провел сканирование Cureit'oM (быстрая проверка), удалил\переместил 160 вирусов. Прикрепляю необходимые логи. Заранее спасибо.

[Info_bot]

Уважаемый(ая) Dhoine, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Мда. Лечиться будем долго.

1. Скачайте Check Browsers' LNK и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите Check Browsers LNK.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
5. Прикрепите этот отчет в вашей теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Dhoine]

Сделал, выкладываю логи

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Уведомление

Скрипт обязательно выполняйте в безопасном режиме!

• Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar из обычного режима.

[Dhoine]

Увы, загрузиться в безопасном режиме не удалось. Компьютер вываливается в синий экран. На свой страх и риск выполнил скрипт в обычном режиме, а затем провел сканирование Farbar. Выкладываю логи.

[mike 1]

Увы, загрузиться в безопасном режиме не удалось. Компьютер вываливается в синий экран.

Очень плохо. Вынести 3 китайских антивируса будет очень трудно из обычного режима. Пробуйте деинсталлировать через установка и удаление программ:

新毒霸(悟空)
电脑管家10.7
百度浏览器

• Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Сделайте новые логи Farbar.

[Dhoine]

Создал другую учетку и под ней смог поудалять китайцев. Сделал новые логи.

[mike 1]

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[Dhoine]

ComboFix 15-05-09.01 - Домашний 11.05.2015 19:39:51.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1014.539 [GMT 3:00]
Running from: C:\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\msmqinst.log
c:\windows\system32\fdclient.dll
c:\windows\system32\service.vbs
c:\windows\XSxS
I:\uninstall.exe
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_GLOBALUPDATE
-------\Legacy_VCS
-------\Service_Vcs
.
.
((((((((((((((((((((((((( Files Created from 2015-04-11 to 2015-05-11 )))))))))))))))))))))))))))))))
.
.
2015-05-10 17:33 . 2015-05-11 13:45 108544 --sha-w- c:\windows\rdpinst.exe
2015-05-10 16:37 . 2015-05-10 16:37 -------- d-----w- c:\docume~1\1BB1~1
2015-05-10 16:18 . 2015-05-11 16:50 -------- d-----w- c:\documents and settings\Домашний
2015-05-10 15:52 . 2015-05-11 05:26 -------- d-----r- C:\Sandbox
2015-05-10 15:48 . 2015-05-10 15:48 -------- d-----w- c:\program files\Sandboxie
2015-05-08 16:06 . 2015-05-10 17:36 -------- d-----w- C:\FRST
2015-05-07 14:47 . 2015-05-07 15:47 -------- d-----w- c:\documents and settings\Admin\Doctor Web
2015-05-04 04:54 . 2015-05-04 04:54 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCach e
2015-04-26 06:00 . 2014-03-12 10:47 130560 ----a-w- c:\windows\system32\bhctrl32.exe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2015-04-15 08:18 . 2015-02-21 17:06 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-04-15 08:18 . 2015-02-21 17:06 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-02-21 17:20 . 2015-02-21 17:20 243128 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2015-02-17 13:04 . 2015-02-17 13:04 1202848 ----a-w- c:\windows\system32\FM20.DLL
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\Elements\bartabhost.dll" [2015-01-30 307488]
.
[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D20-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\0Y ndCase0Sync]
@="{63D48440-63AB-44D0-B323-4731DFCDE9E9}"
[HKEY_CLASSES_ROOT\CLSID\{63D48440-63AB-44D0-B323-4731DFCDE9E9}]
2015-02-27 17:53 1283872 ----a-w- c:\program files\Yandex\YandexDisk\bin\YandexDiskOverlays-2398.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\0Y ndCase1Modified]
@="{7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0}"
[HKEY_CLASSES_ROOT\CLSID\{7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0}]
2015-02-27 17:53 1283872 ----a-w- c:\program files\Yandex\YandexDisk\bin\YandexDiskOverlays-2398.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\0Y ndCase2Error]
@="{FB2FE984-05F5-4512-9D9B-69D3DE61F6D9}"
[HKEY_CLASSES_ROOT\CLSID\{FB2FE984-05F5-4512-9D9B-69D3DE61F6D9}]
2015-02-27 17:53 1283872 ----a-w- c:\program files\Yandex\YandexDisk\bin\YandexDiskOverlays-2398.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\0Y ndCase3Shared]
@="{AF8D197E-7022-4c3d-BD88-68AD35C9C169}"
[HKEY_CLASSES_ROOT\CLSID\{AF8D197E-7022-4c3d-BD88-68AD35C9C169}]
2015-02-27 17:53 1283872 ----a-w- c:\program files\Yandex\YandexDisk\bin\YandexDiskOverlays-2398.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"jfwxpupitk"="start http://pexmeby.ru/?utm_source=uoua03&utm_content=358ec8da5dba511232a 7a6352b5b128c" [?]
"kometaup"="c:\documents and settings\Домашний\Local Settings\Application Data\Kometa\kometaup.exe" [2015-05-11 1071192]
"SandboxieControl"="j:\sandboxie\SbieCtrl.exe" [2015-02-18 632840]
"KometaAutoLaunch_D0E19A489E3A6768D90A1CC261DBF5D9 "="c:\documents and settings\Домашний\Local Settings\Application Data\Kometa\Application\kometa.exe" [2015-04-29 1067096]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-15 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"SoftwareSASGeneration"= 1 (0x1)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"HideRunAsVerb"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^McAfee Security Scan Plus.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amigo]
2015-03-17 13:36 1109544 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-15 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2014-03-04 09:19 3696912 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
2008-02-28 15:00 166424 ----a-w- c:\windows\system32\hkcmd.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2008-02-28 15:00 141848 ----a-w- c:\windows\system32\igfxtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailRuUpdater]
2015-04-10 13:52 6977768 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
2008-02-28 15:00 137752 ----a-w- c:\windows\system32\igfxpers.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2011-10-14 17:58 20064872 ----a-w- c:\windows\RTHDCPL.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2015-02-26 10:16 31344744 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SyncManPath]
2015-03-31 16:00 16632608 ----a-w- c:\program files\Yandex\YandexDisk\bin\YandexDisk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YandexElements]
2015-05-07 17:03 1224992 ----a-w- c:\documents and settings\Admin\Local Settings\Application Data\Yandex\Elements\elements.exe\8.10.1.6120\elem ents.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"j:\\Steam\\Steam.exe"=
"j:\\Steam\\steamapps\\common\\dota 2 beta\\dota.exe"=
"c:\\Program Files\\TeamViewer\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\TeamViewer_Service.exe"=
"c:\\Documents and Settings\\Домашний\\Local Settings\\Application Data\\Kometa\\Application\\kometa.exe"=
.
R0 mv61xxmm;mv61xxmm;c:\windows\system32\drivers\mv61 xxmm.sys [27.05.2012 18:54 13616]
R0 mvxxmm;mvxxmm;c:\windows\system32\drivers\mvxxmm.s ys [27.05.2012 18:54 13616]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [21.02.2015 20:20 243128]
R1 VBoxDrv;VirtualBox Service;c:\windows\system32\drivers\VBoxDrv.sys [29.03.2015 18:33 188176]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\system32\drivers\VBoxUSBMon.sys [29.03.2015 18:33 93968]
R2 Bonjoiur Host Controller;Bonjoiur Host Controller;c:\windows\system32\bhctrl32.exe [26.04.2015 9:00 130560]
R3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [06.09.2013 15:42 104720]
R3 VBoxNetFlt;VirtualBox Bridged Networking Service;c:\windows\system32\drivers\VBoxNetFlt.sys [06.09.2013 15:42 115984]
S0 KAVBootC;KAVBootC;c:\windows\system32\Drivers\KAVB ootC.sys --> c:\windows\system32\Drivers\KAVBootC.sys [?]
S2 kxescore;Kingsoft Core Service;"c:\program files\kingsoft\kingsoft antivirus\kxescore.exe" /service kxescore --> c:\program files\kingsoft\kingsoft antivirus\kxescore.exe [?]
S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [02.01.2015 20:45 315488]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfil t.sys [21.02.2015 20:33 1691480]
S3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [19.02.2010 14:37 517096]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - HELPSVC
*NewlyCreated* - SR
*NewlyCreated* - WS2IFSL
*Deregistered* - uphcleanhlp
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
AudioDrv REG_MULTI_SZ wsaudio
Intel(R) REG_MULTI_SZ ihctrl32
.
Contents of the 'Scheduled Tasks' folder
.
2015-04-18 c:\windows\Tasks\AdobeAAMUpdater-1.0-COMP-45C362ED5B-Admin.job
- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.e xe [2011-03-15 15:42]
.
2015-05-11 c:\windows\Tasks\Opera scheduled Autoupdate 1427648817.job
- c:\program files\Opera\launcher.exe [2015-03-29 08:13]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://mail.ru/cnt/10445?gp=blackbear4
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 176.101.223.53 176.101.223.51
.
- - - - ORPHANS REMOVED - - - -
.
Notify-WgaLogon - (no file)
MSConfigStartUp-11-20150313-154741 - c:\docume~1\Admin\LOCALS~1\Temp\11-20150313-154741.exe
MSConfigStartUp-CursorFX - i:\\CursorFX.exe
MSConfigStartUp-kometaup - c:\documents and settings\Admin\Local Settings\Application Data\Kometa\kometaup.exe
MSConfigStartUp-MediaGet2 - c:\documents and settings\Admin\Local Settings\Application Data\MediaGet2\mediaget.exe
MSConfigStartUp-Steam - i:\steam\steam.exe
MSConfigStartUp-uTorrent - c:\documents and settings\Admin\Application Data\uTorrent\uTorrent.exe
MSConfigStartUp-ZaxarLoader - c:\program files\Zaxar\ZaxarLoader.exe
AddRemove-advPlugin - c:\program files\advPlugin\uninstall.exe
AddRemove-AV Voice Changer Software 3.0.84 - c:\progra~1\AVVCS3~1.0\UNWISE.EXE
AddRemove-Cheat Engine 6.4_is1 - c:\program files\Cheat Engine 6.4\unins000.exe
AddRemove-CheMax_is1 - c:\program files\CheMax\unins000.exe
AddRemove-CursorFX - i:\\uninstall.exe
AddRemove-gmsd_re_133_is1 - c:\program files\gmsd_re_133\unins000.exe
AddRemove-omniboxes uninstall - c:\documents and settings\Admin\Application Data\omniboxes\UninstallManager.exe
AddRemove-QTranslate - c:\program files\QTranslate\Uninstall.exe
AddRemove-SoftwareUpdater - c:\documents and settings\Admin\Local Settings\Application Data\807425D1-1425411574-DE11-B5C0-001CC0C81E6F\Uninstall.exe
AddRemove-Twilight Pretty Search - c:\program files\Twilight Tech\Pretty Search\uninstall.exe
AddRemove-VKMusic 4_is1 - c:\program files\VKMusic 4\unins000.exe
AddRemove-VOPackage - c:\documents and settings\Admin\Application Data\VOPackage\Uninstall.exe
AddRemove-Wizardbrush 6 - c:\program files\Wizardbrush 6\uninstall.exe
AddRemove-ZaxarGameBrowser - c:\program files\Zaxar\uninstall.exe
AddRemove-{3B10FC76-E6F8-4B33-9C88-5BE585F47247}_is1 - c:\program files\VTope\unins000.exe
AddRemove-{8B090399-CD61-4FF0-9914-550D7683FDA9}_is1 - c:\program files\ВидеоМОНТАЖ\unins000.exe
AddRemove-{AC7259E0-0338-463B-97B4-1A38A4CDRE67}_is1 - i:\minecraft 1.5.2\unins000.exe
AddRemove-{F7E50E64-4C50-449D-B62B-E25F2DB4A09C}_is1 - c:\documents and settings\Admin\Local Settings\Application Data\BrowserGameBots\MusicWars\unins000.exe
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-05-11 19:50
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(202
c:\windows\system32\WININET.dll
c:\program files\TeamViewer\tv_w32.dll
c:\program files\Yandex\YandexDisk\bin\YandexDiskOverlays-2398.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Sandboxie\SbieSvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\TeamViewer\TeamViewer_Service.exe
c:\documents and settings\j:\sandboxie\SbieCtrl.exe
c:\windows\system32\uphclean.exe
c:\documents and settings\c:\windows\system32\wuauclt.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\TeamViewer\TeamViewer.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\wscntfy.exe
c:\documents and settings\c:\documents and settings\c:\documents and settings\c:\windows\system32\ctfmon.exe
c:\program files\TeamViewer\tv_w32.exe
c:\program files\teamviewer\TeamViewer_Desktop.exe
.
************************************************** ************************
.
Completion time: 2015-05-11 19:54:07 - machine was rebooted
ComboFix-quarantined-files.txt 2015-05-11 16:54
.
Pre-Run: 25*071*087*616 байт свободно
Post-Run: 24*943*734*784 байт свободно
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Micro soft Windows XP Professional RU" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 94C34BF40AE06CEACAB3B2E011BADF93
8F558EB6672622401DA993E1E865C861

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

Код:

KillAll::

File::
C:\WINDOWS\system32\Drivers\kisknl.sys
C:\WINDOWS\system32\Drivers\ksapi.sys
C:\WINDOWS\system32\Drivers\BDArKit.sys
C:\WINDOWS\system32\Drivers\BDMWrench.sys
C:\WINDOWS\system32\Drivers\bd0003.sys
C:\WINDOWS\system32\Drivers\BDFileDefend.sys

Driver::
KAVBootC
kxescore
kisknl
ksapi
KAVBootC
KDHacker

Folder::
c:\documents and settings\Домашний\Local Settings\Application Data\Kometa
C:\Program Files\kingsoft
C:\Documents and Settings\LocalService\Application Data\Baidu
C:\Documents and Settings\All Users\Application Data\Baidu
C:\Documents and Settings\Admin\Application Data\Baidu
C:\Documents and Settings\All Users\Application Data\KSafeCommon

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"jfwxpupitk"=-
"kometaup"=-
"KometaAutoLaunch_D0E19A489E3A6768D90A1CC261DBF5D9 "=-
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\Домашний\\Local Settings\\Application Data\\Kometa\\Application\\kometa.exe"=-

FileLook::

DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Dhoine]

Спасибо, проблема решена.

[mike 1]

Хотелось бы увидеть последний лог.