Помогите. Вирусы типа А11.exe, А13.exe, J001.exe,F001.exe и т.д

**FOUX** · 14.07.2010, 03:22

Помогите пожалуйста.

У меня стоит Доктор Вэб, проверку компьютера делал и от него и куреитом. Он автоматически блокирует файлы такого типа. Но несмотря на то что каждый раз он удаляет эти файлы (которые появляются каждые 10 минут), svchost.exe загружает процессы на 90%.
Всплывают такие вирусы в папке system32 создавая левые папки (файлы типа P001.exe , j001.exe, E001.exe и т.п.) :
BackDoor.Siggen.24583 - после этого собственно система виснет на 40 секунд.
Trojan.DownLoad1.64199
Trojan.Inject.8950
Trojan.DownLoad.50456

Вложение 252267

Вложение 252268

Вложение 252269

Хочу дополнить что после создания первого лога в AVZ проблема по-моему исчезла. Но не хотелось бы повтора, поэтому всё равно создаю тему.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 14.07.2010, 03:28

Логи прикрепите пожалуйста.

**FOUX** · 14.07.2010, 03:42

Хм. я же прикрепил. 3 Вложения вон.

Дополнено:
Переприкрепил =)

**polword** · 14.07.2010, 07:06

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS.1\system32\drivers\vdm3nda2.sys','');
 QuarantineFile('C:\DOCUME~2\Maxim\LOCALS~1\Temp\w_w139.tmp','');
 QuarantineFile('C:\WINDOWS.1\system32\5HY40WV5\J001.exe','');
 DeleteService('nfhy');
 QuarantineFile('c:\windows.1\system32\sopasvstart.dll','');
 DeleteFile('C:\WINDOWS.1\system32\5HY40WV5\J001.exe');
 DeleteFile('C:\DOCUME~2\Maxim\LOCALS~1\Temp\w_w139.tmp');
 DeleteFileMask('C:\WINDOWS.1\system32\5HY40WV5', '*.*', true);
 DeleteDirectory('C:\WINDOWS.1\system32\5HY40WV5');
 QuarantineFile('C:\WINDOWS.1\system32\sqlserv.exe','');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

**thyrex** · 14.07.2010, 07:15

А также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**FOUX** · 14.07.2010, 19:02

Здравствуйте.
Я ошибался, проблема не исчезла и скрипт не помог. Всплывают файлы c001.exe, E001.exe, h001.exe и тому подобные..а также в Temporary Internet Files но я не могу прочесть название..Дк. Вэб не до конца отображает адрес когда блокирует..Они появляются при каждом запуске интернета.

Сейчас вышлю карантин и выполню остальные логи

Вложение 252465

Вложение 252466

Вложение 252467

У меня вопрос, те заражённые файлы что нашёл MBAM удалять или нет??

Лог через combofix.exe не вышло сделать. После него у меня неведомым образом перестал работать демонтулз и выскакивает ошибка Service.exe (ну это вирус скорее всего).

**FOUX** · 14.07.2010, 20:03

Теперь доктор Вэб блочит его каждые 2 минуты

**миднайт** · 14.07.2010, 21:05

Для полноты картины нужен лог virusinfo_syscure.zip

**FOUX** · 14.07.2010, 21:42

Вложение 252489

**polword** · 14.07.2010, 22:29

1. удалите в MBAM

Код:

Зараженные процессы в памяти:
C:\WINDOWS.1\system32\t\E001.exe (Malware.Packer) -> No action taken.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sopsrv (Malware.Packer) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vsd (Malware.Packer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{00000000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{0c050000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{00000000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{0c050000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ba (Trojan.Scar) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comersvc70 (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SQLDEBUGER (Trojan.Downloader) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Maxim\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
C:\WINDOWS.1\system32\sysproc64 (Trojan.Agent) -> No action taken.

Зараженные файлы:
C:\WINDOWS.1\system32\t\E001.exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A11[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A13[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A13[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\A13[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\A13[2].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\A11[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\RL66Q2U5\A13[1].exe (Malware.Packer) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D907ZT01\ajdt[1].gif (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D907ZT01\mepco[1].bmp (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W5ST6F8F\eoyxx[1].jpg (Extension.Mismatch) -> No action taken.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W5ST6F8F\obduvw[1].jpg (Extension.Mismatch) -> No action taken.
C:\Temp\Service.exe (Trojan.Scar) -> No action taken.
C:\WINDOWS.1\system32\stpasclib.dll (Malware.Packer) -> No action taken.
C:\WINDOWS.1\system32\stpasvstart.dll (Malware.Packer) -> No action taken.
C:\Documents and Settings\Maxim\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

2. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

3. Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS.1\system32\SRGBUATX\A13.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[1].exe ','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[2].exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\P001[2].exe ','');
 DeleteFile('C:\WINDOWS.1\system32\SRGBUATX\A13.exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[1].exe ');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[2].exe');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\P001[2].exe ');
 QuarantineFile('c:\documents and settings\all users\drm\Console\bofup.cc3','');
 QuarantineFile('C:\WINDOWS.1\system32\sopasclib.dll','');
 QuarantineFile('c:\WINDOWS.1\system32\sopasvstart.dll','');
 DeleteFile('c:\WINDOWS.1\system32\sopasvstart.dll');
 DeleteFile('C:\WINDOWS.1\system32\sopasclib.dll');
 QuarantineFile('C:\thumbs.db','');
 DeleteService('WinHees32');
 QuarantineFile('C:\WINDOWS.1\system32\WinHees32.exe','');
 QuarantineFile('C:\WINDOWS.1\system32\Service.exe','');
 DeleteService('ba');
 QuarantineFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe','');
 DeleteService('gstr');
 QuarantineFile('c:\windows.1\system32\vh3z4460\p001.exe','');
 TerminateProcessByName('c:\windows.1\system32\vh3z4460\p001.exe');
 DeleteFile('c:\windows.1\system32\vh3z4460\p001.exe');
 DeleteFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe');
 DeleteFile('C:\WINDOWS.1\system32\Service.exe');
 DeleteFile('C:\WINDOWS.1\system32\WinHees32.exe');
 DeleteFile('C:\thumbs.db');
 QuarantineFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe','');
 QuarantineFile('C:\WINDOWS.1\system32\YZL5PS4I\C002.exe','');
 DeleteFile('C:\WINDOWS.1\system32\YZL5PS4I\C002.exe');
 DeleteFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe');
 QuarantineFile('C:\Temp\FengYun.dll ','');
 DeleteFileMask('C:\WINDOWS.1\system32\YZL5PS4I', '*.*', true);
 DeleteDirectory('C:\WINDOWS.1\system32\YZL5PS4I');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys','');
 DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys');
 QuarantineFile('C:\WINDOWS.1\5171609.tmp ','');
 QuarantineFile('C:\WINDOWS.1\5171453.tmp','');
 QuarantineFile('C:\Temp\Server.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\H001[1].exe','');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\H001[1].exe');
 DeleteFile('C:\WINDOWS.1\5171453.tmp');
 DeleteFile('C:\WINDOWS.1\5171609.tmp ');
 DeleteFile('C:\Temp\Server.exe');
 QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc86.sys','');
 QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys.cla','');
 QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys','');
 DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys');
 DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys.cla');
 DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc86.sys');
 DeleteFile('C:\Temp\FengYun.dll');
  DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- сделайте лог Combofix

**FOUX** · 14.07.2010, 23:43

Сейчас всем начну заниматься.
Ребят не знаю из-за чего но у меня не получается зайти больше на ваш сайт. Только на ваш. Просто не заходит.
Получилось только через http://anonymouse.org/anonwww.html слава Богу

Добавлено через 14 минут

Хм..Так. Не только на ваш сайт не могу зайти. на сайт майкрософта и антивирусов.

**thyrex** · 14.07.2010, 23:59

Выполняйте указания из предыдущего сообщения. Если не можете выложить запрошенные логи, залейте их на файлообменник и сообщите ссылку

**FOUX** · 15.07.2010, 02:55

Ребят из-за того что я не могу зайти на ваш сайт и захожу через сервер другого не получается прикрепить логи.
Кидаю через другой ресурс
http://mu-reaktor.ucoz.ru/virusinfo_syscheck.zip
http://mu-reaktor.ucoz.ru/hijackthis.log
http://mu-reaktor.ucoz.ru/ComboFix.txt

Добавлено через 1 минуту

Пока что проблема исчезла. Но не знаю точно ли и надолго ли.

Кстати с отсутствием возможности захода на сайты антивирусов, майкрософта и т.п. у меня была ранее проблема, её тогда исправил куреит. Может мне заново им перепроверить комп?

**thyrex** · 15.07.2010, 07:55

Запустите редактор реестра
В ветке

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

удалите значения

Код:

StpSrv
SopSrv

Экспортируйте содержимое веток

Код:

[HKLM\SYSTEM\CurrentControlSet\Services\BITS]
[HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]

в отдельные файлы и прикрепите их к сообщению

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
C:\WINDOWS.1\system32\08IA6R38\P001.exe
C:\WINDOWS.1\system32\0EK25LZU\P001.exe
C:\WINDOWS.1\system32\0KDU1Z0D\P001.exe
C:\WINDOWS.1\system32\0PSSWQBL\P001.exe
C:\WINDOWS.1\system32\0PT8K4JC\P001.exe
C:\WINDOWS.1\system32\0R5RZ8ZT\P001.exe
C:\WINDOWS.1\system32\0RARULWJ\P001.exe
C:\WINDOWS.1\system32\1255YTY0\P001.exe
C:\WINDOWS.1\system32\1DOPHPVP\P001.exe
C:\WINDOWS.1\system32\1FA0344R\P001.exe
C:\WINDOWS.1\system32\1JSTSCER\P001.exe
C:\WINDOWS.1\system32\1K2S0J5A\P001.exe
C:\WINDOWS.1\system32\1OLLPPFA\P001.exe
C:\WINDOWS.1\system32\1PQ06GKQ\P001.exe
C:\WINDOWS.1\system32\1QVKWW6S\P001.exe
C:\WINDOWS.1\system32\1VKKT3C3\P001.exe
C:\WINDOWS.1\system32\27614FB7\P001.exe
C:\WINDOWS.1\system32\2CTUOXHX\P001.exe
C:\WINDOWS.1\system32\2EUOMWXR\P001.exe
C:\WINDOWS.1\system32\2EZT1SCQ\P001.exe
C:\WINDOWS.1\system32\2FQ23684\P001.exe
C:\WINDOWS.1\system32\2H8TIOS6\P001.exe
C:\WINDOWS.1\system32\2VCB8BG5\P001.exe
C:\WINDOWS.1\system32\31425OHO\P001.exe
C:\WINDOWS.1\system32\32RCDQHC\P001.exe
C:\WINDOWS.1\system32\34E2NKX3\P001.exe
C:\WINDOWS.1\system32\3B6UJYYM\P001.exe
C:\WINDOWS.1\system32\3E5ACVOF\P001.exe
C:\WINDOWS.1\system32\3JGLE6L2\P001.exe
C:\WINDOWS.1\system32\3O8CAKML\P001.exe
C:\WINDOWS.1\system32\3ZLCQ6WL\P001.exe
C:\WINDOWS.1\system32\42W4PPC5\P001.exe
C:\WINDOWS.1\system32\43Q2ILFT\P001.exe
C:\WINDOWS.1\system32\45LUI2Q0\P001.exe
C:\WINDOWS.1\system32\4CELEGRJ\P001.exe
C:\WINDOWS.1\system32\4GYMGCZ4\P001.exe
C:\WINDOWS.1\system32\4H1DGIUC\P001.exe
C:\WINDOWS.1\system32\4MELB2BE\P001.exe
C:\WINDOWS.1\system32\4Q4EOXET\P001.exe
C:\WINDOWS.1\system32\4WX4LBFC\P001.exe
C:\WINDOWS.1\system32\4ZQV70QW\P001.exe
C:\WINDOWS.1\system32\51PWHPGU\P001.exe
C:\WINDOWS.1\system32\52KVBKJI\P001.exe
C:\WINDOWS.1\system32\546MKEZA\P001.exe
C:\WINDOWS.1\system32\57IOE2HD\P001.exe
C:\WINDOWS.1\system32\58JUFYGC\P001.exe
C:\WINDOWS.1\system32\5EBGBHIV\P001.exe
C:\WINDOWS.1\system32\5FBMBDGU\P001.exe
C:\WINDOWS.1\system32\5MJ4SW3P\P001.exe
C:\WINDOWS.1\system32\5NU4DWVU\P001.exe
C:\WINDOWS.1\system32\61JPAOKJ\P001.exe
C:\WINDOWS.1\system32\66CH62L1\P001.exe
C:\WINDOWS.1\system32\674MHBPK\P001.exe
C:\WINDOWS.1\system32\6D88T0U6\P001.exe
C:\WINDOWS.1\system32\6GEDCJC0\P001.exe
C:\WINDOWS.1\system32\6KVDI2NX\P001.exe
C:\WINDOWS.1\system32\6M647WDJ\P001.exe
C:\WINDOWS.1\system32\6RM22NOS\P001.exe
C:\WINDOWS.1\system32\70KIRCIN\P001.exe
C:\WINDOWS.1\system32\7EWEEOQ2\P001.exe
C:\WINDOWS.1\system32\7JP5B2RL\P001.exe
C:\WINDOWS.1\system32\7MDKJZP8\P001.exe
C:\WINDOWS.1\system32\7P444T1U\P001.exe
C:\WINDOWS.1\system32\7ZRPBD3I\P001.exe
C:\WINDOWS.1\system32\81QP2I4Q\P001.exe
C:\WINDOWS.1\system32\86HMDB6A\P001.exe
C:\WINDOWS.1\system32\8BH7YH28\P001.exe
C:\WINDOWS.1\system32\8CWL71HI\P001.exe
C:\WINDOWS.1\system32\8MSYKXCQ\P001.exe
C:\WINDOWS.1\system32\8Z4U6AK5\P001.exe
C:\WINDOWS.1\system32\A4XM3NKO\P001.exe
C:\WINDOWS.1\system32\ABJTXRZI\P001.exe
C:\WINDOWS.1\system32\ABPEZ1L6\P001.exe
C:\WINDOWS.1\system32\AO042UDD\P001.exe
C:\WINDOWS.1\system32\AYYNY8NU\P001.exe
C:\WINDOWS.1\system32\B4QEVNOD\P001.exe
C:\WINDOWS.1\system32\BHCKU500\P001.exe
C:\WINDOWS.1\system32\BM4CQJ0J\P001.exe
C:\WINDOWS.1\system32\BSM5W2S7\P001.exe
C:\WINDOWS.1\system32\BSZOUVQ0\P001.exe
C:\WINDOWS.1\system32\BYTUFNZA\P001.exe
C:\WINDOWS.1\system32\C3C6YYYM\P001.exe
C:\WINDOWS.1\system32\CG5DM43O\P001.exe
C:\WINDOWS.1\system32\CL0PQHU6\P001.exe
C:\WINDOWS.1\system32\CXEUZBBE\P001.exe
C:\WINDOWS.1\system32\CXRFR8RJ\P001.exe
C:\WINDOWS.1\system32\D2TTU1MN\P001.exe
C:\WINDOWS.1\system32\D84YUDY4\P001.exe
C:\WINDOWS.1\system32\DEADSIRY\P001.exe
C:\WINDOWS.1\system32\DFXQRQZN\P001.exe
C:\WINDOWS.1\system32\DQ12TAOB\P001.exe
C:\WINDOWS.1\system32\DWA7Z831\P001.exe
C:\WINDOWS.1\system32\E1IMRPTL\P001.exe
C:\WINDOWS.1\system32\E1P6TZFB\P001.exe
C:\WINDOWS.1\system32\E7BDO3U3\P001.exe
C:\WINDOWS.1\system32\EJ0O1IJQ\P001.exe
C:\WINDOWS.1\system32\EP74SRTW\P001.exe
C:\WINDOWS.1\system32\EPTGYVK8\P001.exe
C:\WINDOWS.1\system32\EXAQKTZ2\H001.exe
C:\WINDOWS.1\system32\FC5JRJLN\P001.exe
C:\WINDOWS.1\system32\FD1PX3MW\P001.exe
C:\WINDOWS.1\system32\FIHORUX4\P001.exe
C:\WINDOWS.1\system32\FJN3AK2L\P001.exe
C:\WINDOWS.1\system32\FOAGO7YN\P001.exe
C:\WINDOWS.1\system32\FV0OQ74S\P001.exe
C:\WINDOWS.1\system32\GG0ICNAB\P001.exe
C:\WINDOWS.1\system32\GHBHKT1T\P001.exe
C:\WINDOWS.1\system32\GS082223\P001.exe
C:\WINDOWS.1\system32\GSS8DF7O\P001.exe
C:\WINDOWS.1\system32\GT26LMZ5\P001.exe
C:\WINDOWS.1\system32\H2OYJKSA\P001.exe
C:\WINDOWS.1\system32\HB6P2GA5\P001.exe
C:\WINDOWS.1\system32\HFGPKCQM\P001.exe
C:\WINDOWS.1\system32\HSJ6BYEL\P001.exe
C:\WINDOWS.1\system32\HYBY7CF3\P001.exe
C:\WINDOWS.1\system32\I33Q3QFM\P001.exe
C:\WINDOWS.1\system32\I7HQGXTS\P001.exe
C:\WINDOWS.1\system32\IL2FALTR\P001.exe
C:\WINDOWS.1\system32\IRV66YUA\P001.exe
C:\WINDOWS.1\system32\IVPZF5VG\P001.exe
C:\WINDOWS.1\system32\J02RW772\P001.exe
C:\WINDOWS.1\system32\JEZGBUZ7\P001.exe
C:\WINDOWS.1\system32\JKS7780Q\P001.exe
C:\WINDOWS.1\system32\JUAZ0U6K\P001.exe
C:\WINDOWS.1\system32\JVIZPI1Z\P001.exe
C:\WINDOWS.1\system32\JWNY2DVS\P001.exe
C:\WINDOWS.1\system32\K0FWT3NQ\P001.exe
C:\WINDOWS.1\system32\K0UR6KEN\P001.exe
C:\WINDOWS.1\system32\KI68F1I2\P001.exe
C:\WINDOWS.1\system32\KJ3FLMJB\P001.exe
C:\WINDOWS.1\system32\KNZ0CGJL\P001.exe
C:\WINDOWS.1\system32\KQLZ3M18\P001.exe
C:\WINDOWS.1\system32\L3WAUWP0\P001.exe
C:\WINDOWS.1\system32\LGO0UPND\P001.exe
C:\WINDOWS.1\system32\LM8S1FTG\P001.exe
C:\WINDOWS.1\system32\LSKRJ5PO\P001.exe
C:\WINDOWS.1\system32\LTRR7TJ3\P001.exe
C:\WINDOWS.1\system32\M3NIFY3P\P001.exe
C:\WINDOWS.1\system32\M3VI4MY4\P001.exe
C:\WINDOWS.1\system32\MB8BY84E\P001.exe
C:\WINDOWS.1\system32\MF5S2PZV\P001.exe
C:\WINDOWS.1\system32\MR1JYSUX\P001.exe
C:\WINDOWS.1\system32\MXTBU6VG\P001.exe
C:\WINDOWS.1\system32\N72T3Y5C\P001.exe
C:\WINDOWS.1\system32\N848RDD2\P001.exe
C:\WINDOWS.1\system32\N8C9H07I\P001.exe
C:\WINDOWS.1\system32\NFW0OQEL\P001.exe
C:\WINDOWS.1\system32\NLYKZ20E\P001.exe
C:\WINDOWS.1\system32\NQQCVG0W\P001.exe
C:\WINDOWS.1\system32\O1XAXBMS\P001.exe
C:\WINDOWS.1\system32\O1ZU48BS\P001.exe
C:\WINDOWS.1\system32\O25ANYG8\P001.exe
C:\WINDOWS.1\system32\OEVL0D5U\P001.exe
C:\WINDOWS.1\system32\OV737UAA\P001.exe
C:\WINDOWS.1\system32\PIYKB3PX\P001.exe
C:\WINDOWS.1\system32\PJAS5SQ7\P001.exe
C:\WINDOWS.1\system32\PORB6HQG\P001.exe
C:\WINDOWS.1\system32\POUJCJWB\P001.exe
C:\WINDOWS.1\system32\PP2J16RQ\P001.exe
C:\WINDOWS.1\system32\PT6A171P\P001.exe
C:\WINDOWS.1\system32\Q8ONGZ4J\P001.exe
C:\WINDOWS.1\system32\QC2TCQZY\P001.exe
C:\WINDOWS.1\system32\QHCJ536N\P001.exe
C:\WINDOWS.1\system32\QN3B2I75\P001.exe
C:\WINDOWS.1\system32\QUFBJ83E\P001.exe
C:\WINDOWS.1\system32\QZZ1YM27\P001.exe
C:\WINDOWS.1\system32\R4HLSNAP\P001.exe
C:\WINDOWS.1\system32\RINKIH51\P001.exe
C:\WINDOWS.1\system32\RN7CP6C3\P001.exe
C:\WINDOWS.1\system32\RNGCFU6K\P001.exe
C:\WINDOWS.1\system32\RSW2YV8O\P001.exe
C:\WINDOWS.1\system32\RTGC6UNJ\P001.exe
C:\WINDOWS.1\system32\RYPUVA86\P001.exe
C:\WINDOWS.1\system32\S4KTXPHJ\P001.exe
C:\WINDOWS.1\system32\SMT3Z5E3\P001.exe
C:\WINDOWS.1\system32\SR82UWPD\P001.exe
C:\WINDOWS.1\system32\SRGBUATX\P001.exe
C:\WINDOWS.1\system32\SW1TRAQV\P001.exe
C:\WINDOWS.1\system32\t\P001.exe
C:\WINDOWS.1\system32\T11FCGNV\P001.exe
C:\WINDOWS.1\system32\T2MLY0WY\P001.exe
C:\WINDOWS.1\system32\T7EDUEXH\P001.exe
C:\WINDOWS.1\system32\TKA3QISJ\P001.exe
C:\WINDOWS.1\system32\TWXTWYT5\P001.exe
C:\WINDOWS.1\system32\UE63RSYZ\P001.exe
C:\WINDOWS.1\system32\UKZVN5ZI\P001.exe
C:\WINDOWS.1\system32\UPSNKJ00\P001.exe
C:\WINDOWS.1\system32\V634S14F\P001.exe
C:\WINDOWS.1\system32\VDQCM5J8\P001.exe
C:\WINDOWS.1\system32\VDWWOG5X\P001.exe
C:\WINDOWS.1\system32\VE1C65BE\P001.exe
C:\WINDOWS.1\system32\VJPOLT6G\P001.exe
C:\WINDOWS.1\system32\VVEUFOFT\P001.exe
C:\WINDOWS.1\system32\W015TCBV\P001.exe
C:\WINDOWS.1\system32\W0ULR1O6\P001.exe
C:\WINDOWS.1\system32\WA4M0XLM\P001.exe
C:\WINDOWS.1\system32\WI63YKSL\P001.exe
C:\WINDOWS.1\system32\WJJ3JKKR\P001.exe
C:\WINDOWS.1\system32\WOEFNVA8\P001.exe
C:\WINDOWS.1\system32\WU56J8BR\P001.exe
C:\WINDOWS.1\system32\XH6GTTJZ\P001.exe
C:\WINDOWS.1\system32\XHV3FK1G\P001.exe
C:\WINDOWS.1\system32\XT26OXE1\P001.exe
C:\WINDOWS.1\system32\XY6LM25V\P001.exe
C:\WINDOWS.1\system32\XZJL62W0\P001.exe
C:\WINDOWS.1\system32\XZUYLBFK\P001.exe
C:\WINDOWS.1\system32\YBCHJRJV\P001.exe
C:\WINDOWS.1\system32\YBGHE2GL\P001.exe
C:\WINDOWS.1\system32\YCT6KR8R\P001.exe
C:\WINDOWS.1\system32\YG72ALI4\P001.exe
C:\WINDOWS.1\system32\YGJ2UKAB\P001.exe
C:\WINDOWS.1\system32\YH38G4KE\P001.exe
C:\WINDOWS.1\system32\YYGQONOT\P001.exe
C:\WINDOWS.1\system32\YYVL22EQ\P001.exe
C:\WINDOWS.1\system32\Z2YJCTXT\P001.exe
C:\WINDOWS.1\system32\Z48IK0PC\P001.exe
C:\WINDOWS.1\system32\Z8RB87YC\P001.exe
C:\WINDOWS.1\system32\ZSLREKOP\P001.exe
C:\WINDOWS.1\system32\ZXKLI2MK\P001.exe
C:\WINDOWS.1\system32\ZYEJBYP7\P001.exe
C:\WINDOWS.1\24157218.tmp
C:\WINDOWS.1\24157234.tmp
C:\WINDOWS.1\24061296.tmp
C:\WINDOWS.1\24061625.tmp
C:\WINDOWS.1\23967250.tmp
C:\WINDOWS.1\23967281.tmp
C:\WINDOWS.1\23870453.tmp
C:\WINDOWS.1\23870531.tmp
C:\WINDOWS.1\23773578.tmp
C:\WINDOWS.1\23773671.tmp
C:\WINDOWS.1\23680671.tmp
C:\WINDOWS.1\23680765.tmp
C:\WINDOWS.1\23582671.tmp
C:\WINDOWS.1\23582859.tmp
C:\WINDOWS.1\23512890.tmp
C:\WINDOWS.1\23512968.tmp
C:\WINDOWS.1\23420453.tmp
C:\WINDOWS.1\23420500.tmp
C:\WINDOWS.1\23329640.tmp
C:\WINDOWS.1\23330031.tmp
C:\WINDOWS.1\23237234.tmp
C:\WINDOWS.1\23237281.tmp
C:\WINDOWS.1\23137250.tmp
C:\WINDOWS.1\23137343.tmp
C:\WINDOWS.1\23043171.tmp
C:\WINDOWS.1\23043218.tmp
C:\WINDOWS.1\22946125.tmp
C:\WINDOWS.1\22946234.tmp
C:\WINDOWS.1\22849640.tmp
C:\WINDOWS.1\22849703.tmp
C:\WINDOWS.1\22755625.tmp
C:\WINDOWS.1\22755671.tmp
C:\WINDOWS.1\22659437.tmp
C:\WINDOWS.1\22659515.tmp
C:\WINDOWS.1\22564468.tmp
C:\WINDOWS.1\22564593.tmp
C:\WINDOWS.1\22462515.tmp
C:\WINDOWS.1\22462562.tmp
C:\WINDOWS.1\22374500.tmp
C:\WINDOWS.1\22374640.tmp
C:\WINDOWS.1\22300656.tmp
C:\WINDOWS.1\22300718.tmp
C:\WINDOWS.1\22210937.tmp
C:\WINDOWS.1\22211187.tmp
C:\WINDOWS.1\22114703.tmp
C:\WINDOWS.1\22114734.tmp
C:\WINDOWS.1\22048328.tmp
C:\WINDOWS.1\22048390.tmp
C:\WINDOWS.1\21964828.tmp
C:\WINDOWS.1\21964921.tmp
C:\WINDOWS.1\21867078.tmp
C:\WINDOWS.1\21867156.tmp
C:\WINDOWS.1\21766062.tmp
C:\WINDOWS.1\21766093.tmp
C:\Program Files\Common Files\Y1220OU.exe
C:\WINDOWS.1\system32\ouvjqep.dll

Driver::
qyire
fcwlg

NetSvc::
qyire
fcwlg

Folder::
C:\WINDOWS.1\system32\6RM22NOS
C:\WINDOWS.1\system32\6M647WDJ
C:\WINDOWS.1\system32\6GEDCJC0
C:\WINDOWS.1\system32\5MJ4SW3P
C:\WINDOWS.1\system32\546MKEZA
C:\WINDOWS.1\system32\5NU4DWVU
C:\WINDOWS.1\system32\4H1DGIUC
C:\WINDOWS.1\system32\4ZQV70QW
C:\WINDOWS.1\system32\4CELEGRJ
C:\WINDOWS.1\system32\45LUI2Q0
C:\WINDOWS.1\system32\3O8CAKML
C:\WINDOWS.1\system32\3JGLE6L2
C:\WINDOWS.1\system32\31425OHO
C:\WINDOWS.1\system32\2VCB8BG5
C:\WINDOWS.1\system32\2EZT1SCQ
C:\WINDOWS.1\system32\27614FB7
C:\WINDOWS.1\system32\1QVKWW6S
C:\WINDOWS.1\system32\1K2S0J5A
C:\WINDOWS.1\system32\1FA0344R
C:\WINDOWS.1\system32\08IA6R38
C:\WINDOWS.1\system32\0R5RZ8ZT
C:\WINDOWS.1\system32\0RARULWJ
C:\WINDOWS.1\system32\ZYEJBYP7
C:\WINDOWS.1\system32\ZSLREKOP
C:\WINDOWS.1\system32\Z48IK0PC
C:\WINDOWS.1\system32\YYGQONOT
C:\WINDOWS.1\system32\YH38G4KE
C:\WINDOWS.1\system32\YBCHJRJV
C:\WINDOWS.1\system32\YBGHE2GL
C:\WINDOWS.1\system32\XH6GTTJZ
C:\WINDOWS.1\system32\XZUYLBFK
C:\WINDOWS.1\system32\XT26OXE1
C:\WINDOWS.1\system32\WU56J8BR
C:\WINDOWS.1\system32\WOEFNVA8
C:\WINDOWS.1\system32\W015TCBV
C:\WINDOWS.1\system32\VJPOLT6G
C:\WINDOWS.1\system32\VDWWOG5X
C:\WINDOWS.1\system32\V634S14F
C:\WINDOWS.1\system32\UPSNKJ00
C:\WINDOWS.1\system32\UKZVN5ZI
C:\WINDOWS.1\system32\UE63RSYZ
C:\WINDOWS.1\system32\T7EDUEXH
C:\WINDOWS.1\system32\T2MLY0WY
C:\WINDOWS.1\system32\TKA3QISJ
C:\WINDOWS.1\system32\TWXTWYT5
C:\WINDOWS.1\system32\SW1TRAQV
C:\WINDOWS.1\system32\SR82UWPD
C:\WINDOWS.1\system32\SMT3Z5E3
C:\WINDOWS.1\system32\R4HLSNAP
C:\WINDOWS.1\system32\RYPUVA86
C:\WINDOWS.1\system32\RSW2YV8O
C:\WINDOWS.1\system32\QN3B2I75
C:\WINDOWS.1\system32\QHCJ536N
C:\WINDOWS.1\system32\QZZ1YM27
C:\WINDOWS.1\system32\PT6A171P
C:\WINDOWS.1\system32\PORB6HQG
C:\WINDOWS.1\system32\PIYKB3PX
C:\WINDOWS.1\system32\O1ZU48BS
C:\WINDOWS.1\system32\OV737UAA
C:\WINDOWS.1\system32\OEVL0D5U
C:\WINDOWS.1\system32\N72T3Y5C
C:\WINDOWS.1\system32\NQQCVG0W
C:\WINDOWS.1\system32\NLYKZ20E
C:\WINDOWS.1\system32\MF5S2PZV
C:\WINDOWS.1\system32\MXTBU6VG
C:\WINDOWS.1\system32\MR1JYSUX
C:\WINDOWS.1\system32\LM8S1FTG
C:\WINDOWS.1\system32\L3WAUWP0
C:\WINDOWS.1\system32\LGO0UPND
C:\WINDOWS.1\system32\K0FWT3NQ
C:\WINDOWS.1\system32\KJ3FLMJB
C:\WINDOWS.1\system32\KQLZ3M18
C:\WINDOWS.1\system32\JKS7780Q
C:\WINDOWS.1\system32\JEZGBUZ7
C:\WINDOWS.1\system32\JWNY2DVS
C:\WINDOWS.1\system32\IRV66YUA
C:\WINDOWS.1\system32\IL2FALTR
C:\WINDOWS.1\system32\I33Q3QFM
C:\WINDOWS.1\system32\HYBY7CF3
C:\WINDOWS.1\system32\HSJ6BYEL
C:\WINDOWS.1\system32\HB6P2GA5
C:\WINDOWS.1\system32\GHBHKT1T
C:\WINDOWS.1\system32\GT26LMZ5
C:\WINDOWS.1\system32\FOAGO7YN
C:\WINDOWS.1\system32\FIHORUX4
C:\WINDOWS.1\system32\FD1PX3MW
C:\WINDOWS.1\system32\EPTGYVK8
C:\WINDOWS.1\system32\EJ0O1IJQ
C:\WINDOWS.1\system32\E1P6TZFB
C:\WINDOWS.1\system32\DWA7Z831
C:\WINDOWS.1\system32\DFXQRQZN
C:\WINDOWS.1\system32\D84YUDY4
C:\WINDOWS.1\system32\C3C6YYYM
C:\WINDOWS.1\system32\CL0PQHU6
C:\WINDOWS.1\system32\CXRFR8RJ
C:\WINDOWS.1\system32\BSZOUVQ0
C:\WINDOWS.1\system32\B4QEVNOD
C:\WINDOWS.1\system32\AYYNY8NU
C:\WINDOWS.1\system32\ABPEZ1L6
C:\WINDOWS.1\system32\A4XM3NKO
C:\WINDOWS.1\system32\8Z4U6AK5
C:\WINDOWS.1\system32\8CWL71HI
C:\WINDOWS.1\system32\86HMDB6A
C:\WINDOWS.1\system32\7P444T1U
C:\WINDOWS.1\system32\7JP5B2RL
C:\WINDOWS.1\system32\7EWEEOQ2
C:\WINDOWS.1\system32\674MHBPK
C:\WINDOWS.1\system32\6KVDI2NX
C:\WINDOWS.1\system32\52KVBKJI
C:\WINDOWS.1\system32\5FBMBDGU
C:\WINDOWS.1\system32\58JUFYGC
C:\WINDOWS.1\system32\43Q2ILFT
C:\WINDOWS.1\system32\4MELB2BE
C:\WINDOWS.1\system32\4GYMGCZ4
C:\WINDOWS.1\system32\3B6UJYYM
C:\WINDOWS.1\system32\34E2NKX3
C:\WINDOWS.1\system32\3ZLCQ6WL
C:\WINDOWS.1\system32\2H8TIOS6
C:\WINDOWS.1\system32\2CTUOXHX
C:\WINDOWS.1\system32\1OLLPPFA
C:\WINDOWS.1\system32\1JSTSCER
C:\Documents and Settings\Maxim\Application Data\CMedia

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5362:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**FOUX** · 15.07.2010, 17:22

Хорошая новость! Могу заходить на ваш сайт и на все остальные тоже. Можете сказать, пожалуйста, в чём была проблема?

Выкладываю запрошенные вами файлы и лог.

Вложение 252680

Вложение 252681

**thyrex** · 15.07.2010, 21:24

Эти файлы

Код:

C:\WINDOWS.1\system32\mpnotify.exe
C:\WINDOWS.1\system32\Com\comrereg.exe

проверьте на virustotal
Ссылки на результат проверки сообщите

Отключите восстановление системы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::
C:\WINDOWS.1\system32\1VKKT3C3
C:\WINDOWS.1\system32\0PSSWQBL
C:\WINDOWS.1\system32\0KDU1Z0D
C:\WINDOWS.1\system32\0EK25LZU
C:\WINDOWS.1\system32\Z8RB87YC
C:\WINDOWS.1\system32\Z2YJCTXT
C:\WINDOWS.1\system32\ZXKLI2MK
C:\WINDOWS.1\system32\YG72ALI4
C:\WINDOWS.1\system32\YYVL22EQ
C:\WINDOWS.1\system32\YGJ2UKAB
C:\WINDOWS.1\system32\XY6LM25V
C:\WINDOWS.1\system32\XHV3FK1G
C:\WINDOWS.1\system32\XZJL62W0
C:\WINDOWS.1\system32\WI63YKSL
C:\WINDOWS.1\system32\W0ULR1O6
C:\WINDOWS.1\system32\WJJ3JKKR
C:\WINDOWS.1\system32\VDQCM5J8
C:\WINDOWS.1\system32\VVEUFOFT
C:\WINDOWS.1\system32\VE1C65BE
C:\WINDOWS.1\system32\T7T68UNE
C:\WINDOWS.1\system32\T11FCGNV
C:\WINDOWS.1\system32\SRGBUATX
C:\WINDOWS.1\system32\S4KTXPHJ
C:\WINDOWS.1\system32\RN7CP6C3
C:\WINDOWS.1\system32\RNGCFU6K
C:\WINDOWS.1\system32\RINKIH51
C:\WINDOWS.1\system32\QUFBJ83E
C:\WINDOWS.1\system32\QC2TCQZY
C:\WINDOWS.1\system32\POUJCJWB
C:\WINDOWS.1\system32\PP2J16RQ
C:\WINDOWS.1\system32\PJAS5SQ7
C:\WINDOWS.1\system32\O1XAXBMS
C:\WINDOWS.1\system32\O25ANYG8
C:\WINDOWS.1\system32\NFW0OQEL
C:\WINDOWS.1\system32\N848RDD2
C:\WINDOWS.1\system32\N8C9H07I
C:\WINDOWS.1\system32\M3NIFY3P
C:\WINDOWS.1\system32\M3VI4MY4
C:\WINDOWS.1\system32\LSKRJ5PO
C:\WINDOWS.1\system32\LTRR7TJ3
C:\WINDOWS.1\system32\KNZ0CGJL
C:\WINDOWS.1\system32\KI68F1I2
C:\WINDOWS.1\system32\K0UR6KEN
C:\WINDOWS.1\system32\J02RW772
C:\WINDOWS.1\system32\JUAZ0U6K
C:\WINDOWS.1\system32\JVIZPI1Z
C:\WINDOWS.1\system32\IVPZF5VG
C:\WINDOWS.1\system32\I7HQGXTS
C:\WINDOWS.1\system32\H2OYJKSA
C:\WINDOWS.1\system32\HFGPKCQM
C:\WINDOWS.1\system32\GG0ICNAB
C:\WINDOWS.1\system32\GSS8DF7O
C:\WINDOWS.1\system32\GS082223
C:\WINDOWS.1\system32\FC5JRJLN
C:\WINDOWS.1\system32\FJN3AK2L
C:\WINDOWS.1\system32\E7BDO3U3
C:\WINDOWS.1\system32\E1IMRPTL
C:\WINDOWS.1\system32\DEADSIRY
C:\WINDOWS.1\system32\DQ12TAOB
C:\WINDOWS.1\system32\D2TTU1MN
C:\WINDOWS.1\system32\CXEUZBBE
C:\WINDOWS.1\system32\CG5DM43O
C:\WINDOWS.1\system32\BYTUFNZA
C:\WINDOWS.1\system32\BM4CQJ0J
C:\WINDOWS.1\system32\BHCKU500
C:\WINDOWS.1\system32\ABJTXRZI
C:\WINDOWS.1\system32\AO042UDD
C:\WINDOWS.1\system32\8MSYKXCQ
C:\WINDOWS.1\system32\8BH7YH28
C:\WINDOWS.1\system32\7ZRPBD3I
C:\WINDOWS.1\system32\7MDKJZP8
C:\WINDOWS.1\system32\70KIRCIN
C:\WINDOWS.1\system32\66CH62L1
C:\WINDOWS.1\system32\61JPAOKJ
C:\WINDOWS.1\system32\5EBGBHIV
C:\WINDOWS.1\system32\57IOE2HD
C:\WINDOWS.1\system32\51PWHPGU
C:\WINDOWS.1\system32\4WX4LBFC
C:\WINDOWS.1\system32\4Q4EOXET
C:\WINDOWS.1\system32\42W4PPC5
C:\WINDOWS.1\system32\32RCDQHC
C:\WINDOWS.1\system32\3E5ACVOF
C:\WINDOWS.1\system32\2FQ23684
C:\WINDOWS.1\system32\2EUOMWXR
C:\WINDOWS.1\system32\1255YTY0
C:\WINDOWS.1\system32\1PQ06GKQ
C:\WINDOWS.1\system32\1DOPHPVP
C:\WINDOWS.1\system32\0PT8K4JC
C:\WINDOWS.1\system32\THLDX4EO
C:\WINDOWS.1\system32\Q8ONGZ4J
C:\WINDOWS.1\system32\VH3Z4460
C:\WINDOWS.1\system32\OXYYGZHA
C:\WINDOWS.1\system32\EP74SRTW
C:\WINDOWS.1\system32\BSM5W2S7
C:\WINDOWS.1\system32\6D88T0U6
C:\WINDOWS.1\system32\RTGC6UNJ
C:\WINDOWS.1\system32\MB8BY84E
C:\WINDOWS.1\system32\FV0OQ74S
C:\WINDOWS.1\system32\81QP2I4Q
C:\WINDOWS.1\system32\7GK1SJAR
C:\WINDOWS.1\system32\YCT6KR8R
C:\WINDOWS.1\system32\WA4M0XLM
C:\WINDOWS.1\system32\WKC5YTR5
C:\WINDOWS.1\system32\UCS8BNEJ
C:\WINDOWS.1\system32\SKN88OO3
C:\WINDOWS.1\system32\PNHGLO3Q
C:\WINDOWS.1\system32\7FLBF1JJ
C:\WINDOWS.1\system32\7A5CKB7A
C:\WINDOWS.1\system32\HB6UDFX3
C:\WINDOWS.1\system32\EXAQKTZ2

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Распакуйте архив во вложении и внесите информацию в реестр двойным кликом левой кнопки мыши

**FOUX** · 16.07.2010, 02:11

mpnotify.exe - http://www.virustotal.com/ru/analisi...202-1279228492
comrereg.exe - http://www.virustotal.com/ru/analisi...5d0-1279228657

Я всё сделал.
У меня вопрос. В папке system32, осталось куча подобных папок после вируса (т.е. то что мы удаляли в ComboFix это не все) их удалить вручную или оставить?

**polword** · 16.07.2010, 06:57

новый лог ComboFix приложите

**thyrex** · 16.07.2010, 09:32

Только не забудьте выполнить последний скрипт для ComboFix из ссобщения №16, если еще не сделали

**FOUX** · 16.07.2010, 15:29

Вложение 252844

Помогите. Вирусы типа А11.exe, А13.exe, J001.exe,F001.exe и т.д (заявка № 83043)

Опции темы

Помогите. Вирусы типа А11.exe, А13.exe, J001.exe,F001.exe и т.д

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Вирусы с расширением .tmp типа 66,4,5,C,D,6B,5A

D001, F001, A001 и т.д.

MVCMIODE.exe и вирусы типа многацифар.exe

вирусы файлф типа wind32.exe, w32sys4, w32sys2 и т.д

на компе вирусы типа авторан

Метки для этой темы

Ваши права в разделе