Здравствуйте. Сотрудники в почте открыли "Отчет по взаиморасчетам" и на экране появилась надпись "Ваши файлы заблокированы и т.д."
Помогите пожалуйста восстановить файлы. Все логи по указанным вами программам во вложении
Printable View
Здравствуйте. Сотрудники в почте открыли "Отчет по взаиморасчетам" и на экране появилась надпись "Ваши файлы заблокированы и т.д."
Помогите пожалуйста восстановить файлы. Все логи по указанным вами программам во вложении
Уважаемый(ая) [B]asher72[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Высылаю лог
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Лог после очистки
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Логи
[NOTICE]Скрипт нужно выполнять в безопасном режиме[/NOTICE]
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Ultimate Discounter) - C:\Documents and Settings\gl-buh\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-11-19]
OPR Extension: (Ultimate Discounter) - C:\Documents and Settings\gl-buh\Application Data\Opera Software\Opera Stable\Extensions\dcnopnlodagacagplbnimfokkomdhnio [2014-11-19]
OPR Extension: (APIHelper) - C:\Documents and Settings\gl-buh\Application Data\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-22]
R2 BDSGRTP; C:\Program Files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-11-19] (百度在线网络技术(北京)有限公司)
S2 ir16_32; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)
S2 wlanmgr; C:\WINDOWS\System32\svchost.exe [14336 2008-04-15] (Microsoft Corporation)
R1 bd0001; C:\WINDOWS\System32\DRIVERS\bd0001.sys [73032 2014-11-17] (Baidu)
R1 bd0004; C:\WINDOWS\System32\DRIVERS\bd0004.sys [183112 2014-11-19] (Baidu)
R2 BDArKit; C:\WINDOWS\System32\DRIVERS\BDArKit.sys [145224 2014-12-29] (Baidu Technology)
R1 BDMWrench; C:\WINDOWS\System32\DRIVERS\BDMWrench.sys [253000 2015-01-19] (Baidu)
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDEnhanceBoost; system32\DRIVERS\BDEnhanceBoost.sys [X]
R2 d3dadapter; C:\WINDOWS\System32\d3dadapter.dll [183838 2015-02-17] () [File not signed]
NETSVC: KBDMAI -> No Registry Path.
NETSVC: d3dadapter -> C:\Windows\System32\d3dadapter.dll ()
NETSVC: wlanmgr -> No Registry Path.
NETSVC: ir16_32 -> No Registry Path.
2015-06-24 18:14 - 2015-06-24 18:14 - 0156286 _____ () C:\Program Files\desk.jpg
2015-06-24 18:14 - 2015-06-24 18:14 - 0156286 _____ () C:\Program Files\desk1.bmp
2015-06-24 15:18 - 2015-06-24 16:13 - 0000081 _____ () C:\Program Files\VUXIRLMJAZ.ZXF
2014-01-24 12:36 - 2014-01-24 12:36 - 0000006 _____ () C:\Documents and Settings\gl-buh\Application Data\smw_inst
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Fixlog.txt
Написал же вроде по-русски, что скрипт нужно выполнять в безопасном режиме, нет все равно выполняют в обычном режиме.
Сори за невнимательность. Вот правильный файл
Новые логи FRST.txt и Addition.txt сделайте из обычного режима.
FRST.txt
Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните в корень диска С.
1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://virusinfo.info/showthread.php?t=130828"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
[SPOILER]ComboFix 15-07-07.01 - gl-buh 07.07.2015 14:19:33.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.2986.2294 [GMT 10:00]
Running from: C:\ComboFix.exe
AV: Doctor Web Anti-Virus *Disabled/Outdated* {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\drivers\etc\hosts1
c:\windows\system32\fdclient.dll
c:\windows\system32\winlogon.bak
c:\windows\wininit.ini
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BD0001
-------\Legacy_BD0002
-------\Legacy_RADDRVV3
-------\Service_bd0001
-------\Service_bd0002
-------\Service_raddrvv3
.
.
((((((((((((((((((((((((( Files Created from 2015-06-07 to 2015-07-07 )))))))))))))))))))))))))))))))
.
.
2015-07-07 02:46 . 2015-07-07 03:00 -------- d-----w- c:\windows\system32\NtmsData
2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Torch
2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Orbitum
2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Kometa
2015-07-03 04:29 . 2015-07-03 04:29 -------- d-----w- c:\documents and settings\gl-buh\Local Settings\Application Data\Amigo
2015-07-02 01:53 . 2015-07-07 01:37 -------- d-----w- C:\СБиС++ Документооборот
2015-07-02 01:03 . 2015-07-02 01:03 -------- d-----w- c:\program files\TeamViewer
2015-07-01 06:15 . 2015-07-01 06:15 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2015-06-30 05:54 . 2015-07-06 00:40 -------- d-----w- C:\FRST
2015-06-25 23:36 . 2015-06-29 00:27 -------- d-----w- C:\AdwCleaner
2015-06-25 23:35 . 2015-06-25 22:59 2244096 ----a-w- C:\adwcleaner_4.207.exe
2015-06-24 23:37 . 2008-04-14 11:14 53120 ----a-w- c:\windows\system32\drivers\i8042prt.sys
2015-06-24 23:11 . 2015-06-24 23:11 -------- d-----w- C:\7548001e97937d0c31c1d81c5da5
2015-06-13 01:29 . 2015-06-13 01:29 -------- d-sh--w- c:\documents and settings\gl-buh\PrivacIE
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-06-23 20:41 . 2012-12-03 23:05 778416 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-06-23 20:41 . 2012-12-03 23:05 142512 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2015-06-23 20:41 . 2015-04-16 17:41 18174128 ----a-w- c:\windows\system32\FlashPlayerInstaller.exe
2015-05-25 23:39 . 2008-04-15 12:00 509440 ----a-w- c:\windows\system32\winlogon.exe
2015-04-24 22:48 . 2015-04-24 22:48 8367276 ----a-w- C:\PCRADIO_4.0.5.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2015-05-25 . FAD4579B18A9E134B5BAC0A88874E2FD . 509440 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
[7] 2008-04-14 . B3B5D5855127E240C88451030AAEE76E . 509440 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\winlogon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sbis Launcher"="c:\documents and settings\gl-buh\Application Data\SbisLauncher\Launcher.exe" [2015-07-01 404040]
"SbisLoader"="c:\сбис++ документооборот\Мониторинг\SbisMon.exe" [2015-06-26 15944]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2011-02-02 142360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2011-02-02 176152]
"Persistence"="c:\windows\system32\igfxpers.exe" [2011-02-02 145944]
"SpIDerAgent"="c:\program files\DrWeb\spideragent.exe" [2013-07-31 7540480]
"Linia Crash Reporter"="c:\program files\DevLine\Linia SKW\crash_reporter.exe" [2012-10-08 305152]
"eTMonitor"="c:\program files\Aladdin\eToken\PKIClient\x32\PKIMonitor.exe" [2009-12-31 230752]
"MegaFon_MegaFonInternet"="c:\program files\MegaFon\MegaFon Internet\MegaFonInternet.exe" [2014-04-29 408080]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\documents and settings\gl-buh\Главное меню\Программы\Автозагрузка\
Запустить Radmin Server.lnk - c:\windows\system32\rserver30\rserver3.exe /start [2009-10-9 1242504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cpcsp]
2010-08-12 13:34 645704 ----a-w- c:\program files\Crypto Pro\CSP\cpcspi.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 wdigest cpssl
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DrWebEngine]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^gl-buh^Главное меню^Программы^Автозагрузка^OpenOffice.org 3.4.1.lnk]
path=c:\documents and settings\gl-buh\Главное меню\Программы\Автозагрузка\OpenOffice.org 3.4.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.4.1.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eTMonitor]
2009-12-31 00:17 230752 ----a-w- c:\program files\Aladdin\eToken\PKIClient\x32\PKIMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]
2010-08-11 03:31 40983152 ----a-r- c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\DevLine\\Linia SKW\\kernel.exe"=
"c:\\Program Files\\DevLine\\Linia SKW\\oopnet.exe"=
"c:\\WINDOWS\\system32\\rserver30\\rserver3.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\TeamViewer\\Version9\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\Version9\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"475:TCP"= 475:TCP:HASP LM 475 TCP
"475:UDP"= 475:UDP:HASP LM 475 UDP
"3587:TCP"= 3587:TCP:Группирование одноранговой сети Windows
"3540:UDP"= 3540:UDP:PNRP-протокол (Peer Name Resolution Protocol)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 DwProt;DrWeb Protection;c:\windows\system32\drivers\dwprot.sys [12.11.2012 10:41 234240]
R0 SpiderG3;DrWeb file system scanner;c:\windows\system32\drivers\spiderg3.sys [12.11.2012 10:41 167128]
R1 appdrv01;Application Driver (01);c:\windows\system32\drivers\appdrv01.sys [12.11.2012 21:01 2279808]
R1 bd0004;bd0004;c:\windows\system32\drivers\bd0004.sys [19.11.2014 17:10 183112]
R1 BDMWrench;BDMWrench;c:\windows\system32\drivers\BDMWrench.sys [25.02.2015 12:20 253000]
R1 CProCtrl;КриптоПро CSP драйвер;c:\windows\system32\drivers\CProCtrl.sys [02.08.2010 23:36 56144]
R1 DrWebWfp;DrWebWfp;c:\windows\system32\drivers\dw_wfp.sys [12.11.2012 10:41 57088]
R2 BDArKit;BDArKit;c:\windows\system32\drivers\BDArKit.SYS [19.02.2015 12:08 145224]
R2 BDSGRTP;BDSGRTP Service;c:\program files\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [19.11.2014 17:10 1931880]
R2 Consult;Consult;c:\windows\system32\drivers\Consult.sys [12.11.2012 9:54 3008]
R2 cpcsp1;КриптоПро CSP KC1;c:\windows\system32\svchost.exe -k cpcsp [15.04.2008 22:00 14336]
R2 DrWebAVService;Dr.Web Control Service;c:\program files\DrWeb\dwservice.exe --loglevel=inf --logfile="c:\documents and settings\All Users\Application Data\Doctor Web\Logs\dwservice.log" --> c:\program files\DrWeb\dwservice.exe --loglevel=inf --logfile=c:\documents and settings\All Users\Application Data\Doctor Web\Logs\dwservice.log [?]
R2 eTSrv;ETOKSRV;c:\program files\Aladdin\eToken\PKIClient\x32\eTSrv.exe [31.12.2009 10:17 12640]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe -s [?]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [20.02.2015 19:14 77824]
R3 RTIFDH;RTIFDH;c:\windows\system32\drivers\rtIFDH.sys [12.11.2012 9:01 13312]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [12.11.2012 7:51 2127728]
S?2 appdrvrem01;Application Driver Auto Removal Service (01);c:\windows\System32\appdrvrem01.exe svc --> c:\windows\System32\appdrvrem01.exe svc [?]
S2 1C:Enterprise 8.3 Server Agent;Агент сервера 1С:Предприятия 8.3;c:\program files\1cv8\8.3.5.1383\bin\ragent.exe [12.12.2014 18:12 38704]
S3 4587FE86859F2704;4587FE86859F2704;\??\c:\documents and settings\gl-buh\local settings\temp\25336956.sys --> c:\documents and settings\gl-buh\local settings\temp\25336956.sys [?]
S3 4587FE8703B50B22;4587FE8703B50B22;\??\c:\documents and settings\gl-buh\local settings\temp\DFE9D538.sys --> c:\documents and settings\gl-buh\local settings\temp\DFE9D538.sys [?]
S3 AKSUP;AKSUP;c:\windows\system32\drivers\aksup.sys [29.12.2014 10:33 34472]
S3 cglptnt;cglptnt;c:\totalcmd\CGLPTNT.SYS [26.02.2013 8:06 7888]
S3 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:\program files\Common Files\Doctor Web\Scanning Engine\dwengine.exe [12.11.2012 10:41 1913680]
S3 DrWebNetFilter;Dr.Web Net Filtering Service;c:\program files\DrWeb\dwnetfilter.exe [12.11.2012 10:41 2226528]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [20.02.2015 19:14 95232]
S3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\drivers\ew_usbenumfilter.sys [20.02.2015 19:14 11904]
S3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_2_0\bin\fbserver.exe -s [?]
S3 hwusb_cdcacm;hwusb_cdcacm;c:\windows\system32\drivers\ew_cdcacm.sys [20.02.2015 19:14 110848]
S3 hwusb_cdcecm;hwusb_cdcecm;c:\windows\system32\drivers\ew_cdcecm.sys [20.02.2015 19:14 117888]
S4 HASP Loader;HASP Loader;c:\windows\system32\nhsrvice.exe -service --> c:\windows\system32\nhsrvice.exe -service [?]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
cpcsp REG_MULTI_SZ cpcsp1
AudioDrv REG_MULTI_SZ wsaudio
Intel(R) REG_MULTI_SZ ihctrl32
.
Contents of the 'Scheduled Tasks' folder
.
2015-07-07 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-03 20:41]
.
2012-11-12 c:\windows\Tasks\Dr.Web Daily scan.job
- c:\program files\DrWeb\dwscanner.exe [2012-11-12 00:41]
.
2015-06-08 c:\windows\Tasks\Уведомление о завершении поддержки Microsoft Windows XP ежемесячно.job
- c:\windows\system32\xp_eos.exe [2015-05-13 23:28]
.
2015-07-07 c:\windows\Tasks\Уведомлением о завершении поддержки Microsoft Windows XP при входе.job
- c:\windows\system32\xp_eos.exe [2015-05-13 23:28]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://mail.ru/cnt/10445?gp=openpart5
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{CA3598F1-0341-4148-BE8C-B51B307F6FD0}: NameServer = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\documents and settings\gl-buh\Application Data\Mozilla\Firefox\Profiles\r10zxv7n.default\
FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/cnt/10445?gp=openpart5
FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?fr=ntg&q=
/*
* Mozilla user config file
* Always enable SbisPluginClient
*/
FF - user.js: plugin.state.npsbispluginclient - 2
.
- - - - ORPHANS REMOVED - - - -
.
MSConfigStartUp-amigo - c:\documents and settings\gl-buh\Local Settings\Application Data\Amigo\Application\amigo.exe
MSConfigStartUp-BaiduClient - c:\documents and settings\gl-buh\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe
MSConfigStartUp-MailRuUpdater - c:\documents and settings\gl-buh\Local Settings\Application Data\MailRu\MailRuUpdater.exe
MSConfigStartUp-pcket_x64 - c:\program files\BaiduEx\uninit.exe
MSConfigStartUp-pcket_x86 - c:\program files (x86)\BaiduEx\uninit.exe
MSConfigStartUp-pr - c:\program files\Cверка_май_2015.scr
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url]http://www.gmer.net[/url]
Rootkit scan 2015-07-07 14:26
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\S-1-5-21-1229272821-1844823847-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-1229272821-1844823847-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*\OpenWithList]
@Class="Shell"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(780)
c:\program files\Crypto Pro\CSP\detoured.dll
.
- - - - - - - > 'lsass.exe'(836)
c:\program files\Crypto Pro\CSP\detoured.dll
.
- - - - - - - > 'explorer.exe'(304)
c:\windows\system32\WININET.dll
c:\program files\Crypto Pro\CSP\detoured.dll
.
- - - - - - - > 'csrss.exe'(756)
c:\program files\Crypto Pro\CSP\detoured.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\windows\System32\appdrvrem01.exe
c:\program files\Firebird\Firebird_2_0\bin\fbguard.exe
c:\program files\MegaFon\MegaFon Internet\MegaFonInternetService.exe
c:\windows\system32\rserver30\RServer3.exe
c:\program files\DevLine\Linia SKW\kernel.exe
c:\program files\DevLine\Linia SKW\dumper.exe
c:\program files\DevLine\Linia SKW\oopnet.exe
c:\program files\TeamViewer\Version9\TeamViewer_Service.exe
c:\windows\system32\rserver30\FamItrfc.Exe
c:\c:\WINDOWS\system32\rserver30\rserver3.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2015-07-07 14:26:49 - machine was rebooted
ComboFix-quarantined-files.txt 2015-07-07 04:26
.
Pre-Run: 56*649*584*640 байт свободно
Post-Run: 58*540*961*792 байт свободно
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /noexecute=optin /fastdetect
.
- - End Of File - - 987415B266B5B53D01CAF1D3026861E9
8F558EB6672622401DA993E1E865C861[/SPOILER]
Скопируйте текст ниже в Блокнот и [COLOR="#0000CD"]сохраните[/COLOR] как файл с названием [B]CFScript.txt[/B] [COLOR="#0000CD"][B]в корень диска С.[/B][/COLOR]
[code]
KillAll::
File::
Driver::
bd0004
BDMWrench
BDArKit
BDSGRTP
Folder::
c:\program files\Common Files\Baidu
c:\documents and settings\gl-buh\AppData\Local\Baidu
Registry::
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[IMG]http://savepic.org/5315621m.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Файл
Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"
[IMG]http://s16.radikal.ru/i191/1003/6c/671e520b7c2d.jpg[/IMG]
Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]
А что должно произойти?