Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 35.

Помогите. Вирусы типа А11.exe, А13.exe, J001.exe,F001.exe и т.д (заявка № 83043)

  1. #1
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41

    Thumbs up Помогите. Вирусы типа А11.exe, А13.exe, J001.exe,F001.exe и т.д

    Помогите пожалуйста.

    У меня стоит Доктор Вэб, проверку компьютера делал и от него и куреитом. Он автоматически блокирует файлы такого типа. Но несмотря на то что каждый раз он удаляет эти файлы (которые появляются каждые 10 минут), svchost.exe загружает процессы на 90%.
    Всплывают такие вирусы в папке system32 создавая левые папки (файлы типа P001.exe , j001.exe, E001.exe и т.п.) :
    BackDoor.Siggen.24583 - после этого собственно система виснет на 40 секунд.
    Trojan.DownLoad1.64199
    Trojan.Inject.8950
    Trojan.DownLoad.50456

    Вложение 252267

    Вложение 252268

    Вложение 252269


    Хочу дополнить что после создания первого лога в AVZ проблема по-моему исчезла. Но не хотелось бы повтора, поэтому всё равно создаю тему.
    Последний раз редактировалось FOUX; 14.07.2010 в 02:45.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Логи прикрепите пожалуйста.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Хм. я же прикрепил. 3 Вложения вон.

    Дополнено:
    Переприкрепил =)

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\WINDOWS.1\system32\drivers\vdm3nda2.sys','');
     QuarantineFile('C:\DOCUME~2\Maxim\LOCALS~1\Temp\w_w139.tmp','');
     QuarantineFile('C:\WINDOWS.1\system32\5HY40WV5\J001.exe','');
     DeleteService('nfhy');
     QuarantineFile('c:\windows.1\system32\sopasvstart.dll','');
     DeleteFile('C:\WINDOWS.1\system32\5HY40WV5\J001.exe');
     DeleteFile('C:\DOCUME~2\Maxim\LOCALS~1\Temp\w_w139.tmp');
     DeleteFileMask('C:\WINDOWS.1\system32\5HY40WV5', '*.*', true);
     DeleteDirectory('C:\WINDOWS.1\system32\5HY40WV5');
     QuarantineFile('C:\WINDOWS.1\system32\sqlserv.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - Сделайте лог MBAM

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    А также сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Здравствуйте.
    Я ошибался, проблема не исчезла и скрипт не помог. Всплывают файлы c001.exe, E001.exe, h001.exe и тому подобные..а также в Temporary Internet Files но я не могу прочесть название..Дк. Вэб не до конца отображает адрес когда блокирует..Они появляются при каждом запуске интернета.

    Сейчас вышлю карантин и выполню остальные логи



    Вложение 252465

    Вложение 252466

    Вложение 252467

    У меня вопрос, те заражённые файлы что нашёл MBAM удалять или нет??

    Лог через combofix.exe не вышло сделать. После него у меня неведомым образом перестал работать демонтулз и выскакивает ошибка Service.exe (ну это вирус скорее всего).
    Последний раз редактировалось FOUX; 14.07.2010 в 18:03. Причина: Добавлено

  8. #7
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Теперь доктор Вэб блочит его каждые 2 минуты

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Для полноты картины нужен лог virusinfo_syscure.zip
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1. удалите в MBAM
    Код:
    Зараженные процессы в памяти:
    C:\WINDOWS.1\system32\t\E001.exe (Malware.Packer) -> No action taken.
    
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sopsrv (Malware.Packer) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vsd (Malware.Packer) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{00000000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{0c050000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{00000000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{0c050000-dcff-d000-f399-837c709a807c} (Spyware.Zbot) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ba (Trojan.Scar) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Comersvc70 (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SQLDEBUGER (Trojan.Downloader) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\Documents and Settings\Maxim\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
    C:\Documents and Settings\LocalService\Application Data\sysproc64 (Trojan.Agent) -> No action taken.
    C:\WINDOWS.1\system32\sysproc64 (Trojan.Agent) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS.1\system32\t\E001.exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A11[1].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A13[1].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\A13[2].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\A13[1].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\A13[2].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\A11[1].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\RL66Q2U5\A13[1].exe (Malware.Packer) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D907ZT01\ajdt[1].gif (Extension.Mismatch) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\D907ZT01\mepco[1].bmp (Extension.Mismatch) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W5ST6F8F\eoyxx[1].jpg (Extension.Mismatch) -> No action taken.
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\W5ST6F8F\obduvw[1].jpg (Extension.Mismatch) -> No action taken.
    C:\Temp\Service.exe (Trojan.Scar) -> No action taken.
    C:\WINDOWS.1\system32\stpasclib.dll (Malware.Packer) -> No action taken.
    C:\WINDOWS.1\system32\stpasvstart.dll (Malware.Packer) -> No action taken.
    C:\Documents and Settings\Maxim\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
    2. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    3. Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS.1\system32\SRGBUATX\A13.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[1].exe ','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[2].exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\P001[2].exe ','');
     DeleteFile('C:\WINDOWS.1\system32\SRGBUATX\A13.exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[1].exe ');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\E9QZ143K\C002[2].exe');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\JV9LJUDR\P001[2].exe ');
     QuarantineFile('c:\documents and settings\all users\drm\Console\bofup.cc3','');
     QuarantineFile('C:\WINDOWS.1\system32\sopasclib.dll','');
     QuarantineFile('c:\WINDOWS.1\system32\sopasvstart.dll','');
     DeleteFile('c:\WINDOWS.1\system32\sopasvstart.dll');
     DeleteFile('C:\WINDOWS.1\system32\sopasclib.dll');
     QuarantineFile('C:\thumbs.db','');
     DeleteService('WinHees32');
     QuarantineFile('C:\WINDOWS.1\system32\WinHees32.exe','');
     QuarantineFile('C:\WINDOWS.1\system32\Service.exe','');
     DeleteService('ba');
     QuarantineFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe','');
     DeleteService('gstr');
     QuarantineFile('c:\windows.1\system32\vh3z4460\p001.exe','');
     TerminateProcessByName('c:\windows.1\system32\vh3z4460\p001.exe');
     DeleteFile('c:\windows.1\system32\vh3z4460\p001.exe');
     DeleteFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe');
     DeleteFile('C:\WINDOWS.1\system32\Service.exe');
     DeleteFile('C:\WINDOWS.1\system32\WinHees32.exe');
     DeleteFile('C:\thumbs.db');
     QuarantineFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe','');
     QuarantineFile('C:\WINDOWS.1\system32\YZL5PS4I\C002.exe','');
     DeleteFile('C:\WINDOWS.1\system32\YZL5PS4I\C002.exe');
     DeleteFile('C:\WINDOWS.1\system32\VH3Z4460\P001.exe');
     QuarantineFile('C:\Temp\FengYun.dll ','');
     DeleteFileMask('C:\WINDOWS.1\system32\YZL5PS4I', '*.*', true);
     DeleteDirectory('C:\WINDOWS.1\system32\YZL5PS4I');
     QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys','');
     DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys');
     QuarantineFile('C:\WINDOWS.1\5171609.tmp ','');
     QuarantineFile('C:\WINDOWS.1\5171453.tmp','');
     QuarantineFile('C:\Temp\Server.exe','');
     QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\H001[1].exe','');
     DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\NREPK9HJ\H001[1].exe');
     DeleteFile('C:\WINDOWS.1\5171453.tmp');
     DeleteFile('C:\WINDOWS.1\5171609.tmp ');
     DeleteFile('C:\Temp\Server.exe');
     QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc86.sys','');
     QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys.cla','');
     QuarantineFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys','');
     DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys');
     DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc32.sys.cla');
     DeleteFile('C:\WINDOWS.1\system32\sysproc64\sysproc86.sys');
     DeleteFile('C:\Temp\FengYun.dll');
      DeleteFileMask('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
    - сделайте лог Combofix
    Последний раз редактировалось polword; 14.07.2010 в 21:35.

  12. #11
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Сейчас всем начну заниматься.
    Ребят не знаю из-за чего но у меня не получается зайти больше на ваш сайт. Только на ваш. Просто не заходит.
    Получилось только через http://anonymouse.org/anonwww.html слава Богу

    Добавлено через 14 минут

    Хм..Так. Не только на ваш сайт не могу зайти. на сайт майкрософта и антивирусов.
    Последний раз редактировалось FOUX; 14.07.2010 в 22:43. Причина: Добавлено

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Выполняйте указания из предыдущего сообщения. Если не можете выложить запрошенные логи, залейте их на файлообменник и сообщите ссылку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Ребят из-за того что я не могу зайти на ваш сайт и захожу через сервер другого не получается прикрепить логи.
    Кидаю через другой ресурс
    http://mu-reaktor.ucoz.ru/virusinfo_syscheck.zip
    http://mu-reaktor.ucoz.ru/hijackthis.log
    http://mu-reaktor.ucoz.ru/ComboFix.txt

    Добавлено через 1 минуту

    Пока что проблема исчезла. Но не знаю точно ли и надолго ли.

    Кстати с отсутствием возможности захода на сайты антивирусов, майкрософта и т.п. у меня была ранее проблема, её тогда исправил куреит. Может мне заново им перепроверить комп?
    Последний раз редактировалось FOUX; 15.07.2010 в 01:55. Причина: Добавлено

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Запустите редактор реестра
    В ветке
    Код:
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    удалите значения
    Код:
    StpSrv
    SopSrv
    Экспортируйте содержимое веток
    Код:
    [HKLM\SYSTEM\CurrentControlSet\Services\BITS]
    [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
    в отдельные файлы и прикрепите их к сообщению

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    C:\WINDOWS.1\system32\08IA6R38\P001.exe
    C:\WINDOWS.1\system32\0EK25LZU\P001.exe
    C:\WINDOWS.1\system32\0KDU1Z0D\P001.exe
    C:\WINDOWS.1\system32\0PSSWQBL\P001.exe
    C:\WINDOWS.1\system32\0PT8K4JC\P001.exe
    C:\WINDOWS.1\system32\0R5RZ8ZT\P001.exe
    C:\WINDOWS.1\system32\0RARULWJ\P001.exe
    C:\WINDOWS.1\system32\1255YTY0\P001.exe
    C:\WINDOWS.1\system32\1DOPHPVP\P001.exe
    C:\WINDOWS.1\system32\1FA0344R\P001.exe
    C:\WINDOWS.1\system32\1JSTSCER\P001.exe
    C:\WINDOWS.1\system32\1K2S0J5A\P001.exe
    C:\WINDOWS.1\system32\1OLLPPFA\P001.exe
    C:\WINDOWS.1\system32\1PQ06GKQ\P001.exe
    C:\WINDOWS.1\system32\1QVKWW6S\P001.exe
    C:\WINDOWS.1\system32\1VKKT3C3\P001.exe
    C:\WINDOWS.1\system32\27614FB7\P001.exe
    C:\WINDOWS.1\system32\2CTUOXHX\P001.exe
    C:\WINDOWS.1\system32\2EUOMWXR\P001.exe
    C:\WINDOWS.1\system32\2EZT1SCQ\P001.exe
    C:\WINDOWS.1\system32\2FQ23684\P001.exe
    C:\WINDOWS.1\system32\2H8TIOS6\P001.exe
    C:\WINDOWS.1\system32\2VCB8BG5\P001.exe
    C:\WINDOWS.1\system32\31425OHO\P001.exe
    C:\WINDOWS.1\system32\32RCDQHC\P001.exe
    C:\WINDOWS.1\system32\34E2NKX3\P001.exe
    C:\WINDOWS.1\system32\3B6UJYYM\P001.exe
    C:\WINDOWS.1\system32\3E5ACVOF\P001.exe
    C:\WINDOWS.1\system32\3JGLE6L2\P001.exe
    C:\WINDOWS.1\system32\3O8CAKML\P001.exe
    C:\WINDOWS.1\system32\3ZLCQ6WL\P001.exe
    C:\WINDOWS.1\system32\42W4PPC5\P001.exe
    C:\WINDOWS.1\system32\43Q2ILFT\P001.exe
    C:\WINDOWS.1\system32\45LUI2Q0\P001.exe
    C:\WINDOWS.1\system32\4CELEGRJ\P001.exe
    C:\WINDOWS.1\system32\4GYMGCZ4\P001.exe
    C:\WINDOWS.1\system32\4H1DGIUC\P001.exe
    C:\WINDOWS.1\system32\4MELB2BE\P001.exe
    C:\WINDOWS.1\system32\4Q4EOXET\P001.exe
    C:\WINDOWS.1\system32\4WX4LBFC\P001.exe
    C:\WINDOWS.1\system32\4ZQV70QW\P001.exe
    C:\WINDOWS.1\system32\51PWHPGU\P001.exe
    C:\WINDOWS.1\system32\52KVBKJI\P001.exe
    C:\WINDOWS.1\system32\546MKEZA\P001.exe
    C:\WINDOWS.1\system32\57IOE2HD\P001.exe
    C:\WINDOWS.1\system32\58JUFYGC\P001.exe
    C:\WINDOWS.1\system32\5EBGBHIV\P001.exe
    C:\WINDOWS.1\system32\5FBMBDGU\P001.exe
    C:\WINDOWS.1\system32\5MJ4SW3P\P001.exe
    C:\WINDOWS.1\system32\5NU4DWVU\P001.exe
    C:\WINDOWS.1\system32\61JPAOKJ\P001.exe
    C:\WINDOWS.1\system32\66CH62L1\P001.exe
    C:\WINDOWS.1\system32\674MHBPK\P001.exe
    C:\WINDOWS.1\system32\6D88T0U6\P001.exe
    C:\WINDOWS.1\system32\6GEDCJC0\P001.exe
    C:\WINDOWS.1\system32\6KVDI2NX\P001.exe
    C:\WINDOWS.1\system32\6M647WDJ\P001.exe
    C:\WINDOWS.1\system32\6RM22NOS\P001.exe
    C:\WINDOWS.1\system32\70KIRCIN\P001.exe
    C:\WINDOWS.1\system32\7EWEEOQ2\P001.exe
    C:\WINDOWS.1\system32\7JP5B2RL\P001.exe
    C:\WINDOWS.1\system32\7MDKJZP8\P001.exe
    C:\WINDOWS.1\system32\7P444T1U\P001.exe
    C:\WINDOWS.1\system32\7ZRPBD3I\P001.exe
    C:\WINDOWS.1\system32\81QP2I4Q\P001.exe
    C:\WINDOWS.1\system32\86HMDB6A\P001.exe
    C:\WINDOWS.1\system32\8BH7YH28\P001.exe
    C:\WINDOWS.1\system32\8CWL71HI\P001.exe
    C:\WINDOWS.1\system32\8MSYKXCQ\P001.exe
    C:\WINDOWS.1\system32\8Z4U6AK5\P001.exe
    C:\WINDOWS.1\system32\A4XM3NKO\P001.exe
    C:\WINDOWS.1\system32\ABJTXRZI\P001.exe
    C:\WINDOWS.1\system32\ABPEZ1L6\P001.exe
    C:\WINDOWS.1\system32\AO042UDD\P001.exe
    C:\WINDOWS.1\system32\AYYNY8NU\P001.exe
    C:\WINDOWS.1\system32\B4QEVNOD\P001.exe
    C:\WINDOWS.1\system32\BHCKU500\P001.exe
    C:\WINDOWS.1\system32\BM4CQJ0J\P001.exe
    C:\WINDOWS.1\system32\BSM5W2S7\P001.exe
    C:\WINDOWS.1\system32\BSZOUVQ0\P001.exe
    C:\WINDOWS.1\system32\BYTUFNZA\P001.exe
    C:\WINDOWS.1\system32\C3C6YYYM\P001.exe
    C:\WINDOWS.1\system32\CG5DM43O\P001.exe
    C:\WINDOWS.1\system32\CL0PQHU6\P001.exe
    C:\WINDOWS.1\system32\CXEUZBBE\P001.exe
    C:\WINDOWS.1\system32\CXRFR8RJ\P001.exe
    C:\WINDOWS.1\system32\D2TTU1MN\P001.exe
    C:\WINDOWS.1\system32\D84YUDY4\P001.exe
    C:\WINDOWS.1\system32\DEADSIRY\P001.exe
    C:\WINDOWS.1\system32\DFXQRQZN\P001.exe
    C:\WINDOWS.1\system32\DQ12TAOB\P001.exe
    C:\WINDOWS.1\system32\DWA7Z831\P001.exe
    C:\WINDOWS.1\system32\E1IMRPTL\P001.exe
    C:\WINDOWS.1\system32\E1P6TZFB\P001.exe
    C:\WINDOWS.1\system32\E7BDO3U3\P001.exe
    C:\WINDOWS.1\system32\EJ0O1IJQ\P001.exe
    C:\WINDOWS.1\system32\EP74SRTW\P001.exe
    C:\WINDOWS.1\system32\EPTGYVK8\P001.exe
    C:\WINDOWS.1\system32\EXAQKTZ2\H001.exe
    C:\WINDOWS.1\system32\FC5JRJLN\P001.exe
    C:\WINDOWS.1\system32\FD1PX3MW\P001.exe
    C:\WINDOWS.1\system32\FIHORUX4\P001.exe
    C:\WINDOWS.1\system32\FJN3AK2L\P001.exe
    C:\WINDOWS.1\system32\FOAGO7YN\P001.exe
    C:\WINDOWS.1\system32\FV0OQ74S\P001.exe
    C:\WINDOWS.1\system32\GG0ICNAB\P001.exe
    C:\WINDOWS.1\system32\GHBHKT1T\P001.exe
    C:\WINDOWS.1\system32\GS082223\P001.exe
    C:\WINDOWS.1\system32\GSS8DF7O\P001.exe
    C:\WINDOWS.1\system32\GT26LMZ5\P001.exe
    C:\WINDOWS.1\system32\H2OYJKSA\P001.exe
    C:\WINDOWS.1\system32\HB6P2GA5\P001.exe
    C:\WINDOWS.1\system32\HFGPKCQM\P001.exe
    C:\WINDOWS.1\system32\HSJ6BYEL\P001.exe
    C:\WINDOWS.1\system32\HYBY7CF3\P001.exe
    C:\WINDOWS.1\system32\I33Q3QFM\P001.exe
    C:\WINDOWS.1\system32\I7HQGXTS\P001.exe
    C:\WINDOWS.1\system32\IL2FALTR\P001.exe
    C:\WINDOWS.1\system32\IRV66YUA\P001.exe
    C:\WINDOWS.1\system32\IVPZF5VG\P001.exe
    C:\WINDOWS.1\system32\J02RW772\P001.exe
    C:\WINDOWS.1\system32\JEZGBUZ7\P001.exe
    C:\WINDOWS.1\system32\JKS7780Q\P001.exe
    C:\WINDOWS.1\system32\JUAZ0U6K\P001.exe
    C:\WINDOWS.1\system32\JVIZPI1Z\P001.exe
    C:\WINDOWS.1\system32\JWNY2DVS\P001.exe
    C:\WINDOWS.1\system32\K0FWT3NQ\P001.exe
    C:\WINDOWS.1\system32\K0UR6KEN\P001.exe
    C:\WINDOWS.1\system32\KI68F1I2\P001.exe
    C:\WINDOWS.1\system32\KJ3FLMJB\P001.exe
    C:\WINDOWS.1\system32\KNZ0CGJL\P001.exe
    C:\WINDOWS.1\system32\KQLZ3M18\P001.exe
    C:\WINDOWS.1\system32\L3WAUWP0\P001.exe
    C:\WINDOWS.1\system32\LGO0UPND\P001.exe
    C:\WINDOWS.1\system32\LM8S1FTG\P001.exe
    C:\WINDOWS.1\system32\LSKRJ5PO\P001.exe
    C:\WINDOWS.1\system32\LTRR7TJ3\P001.exe
    C:\WINDOWS.1\system32\M3NIFY3P\P001.exe
    C:\WINDOWS.1\system32\M3VI4MY4\P001.exe
    C:\WINDOWS.1\system32\MB8BY84E\P001.exe
    C:\WINDOWS.1\system32\MF5S2PZV\P001.exe
    C:\WINDOWS.1\system32\MR1JYSUX\P001.exe
    C:\WINDOWS.1\system32\MXTBU6VG\P001.exe
    C:\WINDOWS.1\system32\N72T3Y5C\P001.exe
    C:\WINDOWS.1\system32\N848RDD2\P001.exe
    C:\WINDOWS.1\system32\N8C9H07I\P001.exe
    C:\WINDOWS.1\system32\NFW0OQEL\P001.exe
    C:\WINDOWS.1\system32\NLYKZ20E\P001.exe
    C:\WINDOWS.1\system32\NQQCVG0W\P001.exe
    C:\WINDOWS.1\system32\O1XAXBMS\P001.exe
    C:\WINDOWS.1\system32\O1ZU48BS\P001.exe
    C:\WINDOWS.1\system32\O25ANYG8\P001.exe
    C:\WINDOWS.1\system32\OEVL0D5U\P001.exe
    C:\WINDOWS.1\system32\OV737UAA\P001.exe
    C:\WINDOWS.1\system32\PIYKB3PX\P001.exe
    C:\WINDOWS.1\system32\PJAS5SQ7\P001.exe
    C:\WINDOWS.1\system32\PORB6HQG\P001.exe
    C:\WINDOWS.1\system32\POUJCJWB\P001.exe
    C:\WINDOWS.1\system32\PP2J16RQ\P001.exe
    C:\WINDOWS.1\system32\PT6A171P\P001.exe
    C:\WINDOWS.1\system32\Q8ONGZ4J\P001.exe
    C:\WINDOWS.1\system32\QC2TCQZY\P001.exe
    C:\WINDOWS.1\system32\QHCJ536N\P001.exe
    C:\WINDOWS.1\system32\QN3B2I75\P001.exe
    C:\WINDOWS.1\system32\QUFBJ83E\P001.exe
    C:\WINDOWS.1\system32\QZZ1YM27\P001.exe
    C:\WINDOWS.1\system32\R4HLSNAP\P001.exe
    C:\WINDOWS.1\system32\RINKIH51\P001.exe
    C:\WINDOWS.1\system32\RN7CP6C3\P001.exe
    C:\WINDOWS.1\system32\RNGCFU6K\P001.exe
    C:\WINDOWS.1\system32\RSW2YV8O\P001.exe
    C:\WINDOWS.1\system32\RTGC6UNJ\P001.exe
    C:\WINDOWS.1\system32\RYPUVA86\P001.exe
    C:\WINDOWS.1\system32\S4KTXPHJ\P001.exe
    C:\WINDOWS.1\system32\SMT3Z5E3\P001.exe
    C:\WINDOWS.1\system32\SR82UWPD\P001.exe
    C:\WINDOWS.1\system32\SRGBUATX\P001.exe
    C:\WINDOWS.1\system32\SW1TRAQV\P001.exe
    C:\WINDOWS.1\system32\t\P001.exe
    C:\WINDOWS.1\system32\T11FCGNV\P001.exe
    C:\WINDOWS.1\system32\T2MLY0WY\P001.exe
    C:\WINDOWS.1\system32\T7EDUEXH\P001.exe
    C:\WINDOWS.1\system32\TKA3QISJ\P001.exe
    C:\WINDOWS.1\system32\TWXTWYT5\P001.exe
    C:\WINDOWS.1\system32\UE63RSYZ\P001.exe
    C:\WINDOWS.1\system32\UKZVN5ZI\P001.exe
    C:\WINDOWS.1\system32\UPSNKJ00\P001.exe
    C:\WINDOWS.1\system32\V634S14F\P001.exe
    C:\WINDOWS.1\system32\VDQCM5J8\P001.exe
    C:\WINDOWS.1\system32\VDWWOG5X\P001.exe
    C:\WINDOWS.1\system32\VE1C65BE\P001.exe
    C:\WINDOWS.1\system32\VJPOLT6G\P001.exe
    C:\WINDOWS.1\system32\VVEUFOFT\P001.exe
    C:\WINDOWS.1\system32\W015TCBV\P001.exe
    C:\WINDOWS.1\system32\W0ULR1O6\P001.exe
    C:\WINDOWS.1\system32\WA4M0XLM\P001.exe
    C:\WINDOWS.1\system32\WI63YKSL\P001.exe
    C:\WINDOWS.1\system32\WJJ3JKKR\P001.exe
    C:\WINDOWS.1\system32\WOEFNVA8\P001.exe
    C:\WINDOWS.1\system32\WU56J8BR\P001.exe
    C:\WINDOWS.1\system32\XH6GTTJZ\P001.exe
    C:\WINDOWS.1\system32\XHV3FK1G\P001.exe
    C:\WINDOWS.1\system32\XT26OXE1\P001.exe
    C:\WINDOWS.1\system32\XY6LM25V\P001.exe
    C:\WINDOWS.1\system32\XZJL62W0\P001.exe
    C:\WINDOWS.1\system32\XZUYLBFK\P001.exe
    C:\WINDOWS.1\system32\YBCHJRJV\P001.exe
    C:\WINDOWS.1\system32\YBGHE2GL\P001.exe
    C:\WINDOWS.1\system32\YCT6KR8R\P001.exe
    C:\WINDOWS.1\system32\YG72ALI4\P001.exe
    C:\WINDOWS.1\system32\YGJ2UKAB\P001.exe
    C:\WINDOWS.1\system32\YH38G4KE\P001.exe
    C:\WINDOWS.1\system32\YYGQONOT\P001.exe
    C:\WINDOWS.1\system32\YYVL22EQ\P001.exe
    C:\WINDOWS.1\system32\Z2YJCTXT\P001.exe
    C:\WINDOWS.1\system32\Z48IK0PC\P001.exe
    C:\WINDOWS.1\system32\Z8RB87YC\P001.exe
    C:\WINDOWS.1\system32\ZSLREKOP\P001.exe
    C:\WINDOWS.1\system32\ZXKLI2MK\P001.exe
    C:\WINDOWS.1\system32\ZYEJBYP7\P001.exe
    C:\WINDOWS.1\24157218.tmp
    C:\WINDOWS.1\24157234.tmp
    C:\WINDOWS.1\24061296.tmp
    C:\WINDOWS.1\24061625.tmp
    C:\WINDOWS.1\23967250.tmp
    C:\WINDOWS.1\23967281.tmp
    C:\WINDOWS.1\23870453.tmp
    C:\WINDOWS.1\23870531.tmp
    C:\WINDOWS.1\23773578.tmp
    C:\WINDOWS.1\23773671.tmp
    C:\WINDOWS.1\23680671.tmp
    C:\WINDOWS.1\23680765.tmp
    C:\WINDOWS.1\23582671.tmp
    C:\WINDOWS.1\23582859.tmp
    C:\WINDOWS.1\23512890.tmp
    C:\WINDOWS.1\23512968.tmp
    C:\WINDOWS.1\23420453.tmp
    C:\WINDOWS.1\23420500.tmp
    C:\WINDOWS.1\23329640.tmp
    C:\WINDOWS.1\23330031.tmp
    C:\WINDOWS.1\23237234.tmp
    C:\WINDOWS.1\23237281.tmp
    C:\WINDOWS.1\23137250.tmp
    C:\WINDOWS.1\23137343.tmp
    C:\WINDOWS.1\23043171.tmp
    C:\WINDOWS.1\23043218.tmp
    C:\WINDOWS.1\22946125.tmp
    C:\WINDOWS.1\22946234.tmp
    C:\WINDOWS.1\22849640.tmp
    C:\WINDOWS.1\22849703.tmp
    C:\WINDOWS.1\22755625.tmp
    C:\WINDOWS.1\22755671.tmp
    C:\WINDOWS.1\22659437.tmp
    C:\WINDOWS.1\22659515.tmp
    C:\WINDOWS.1\22564468.tmp
    C:\WINDOWS.1\22564593.tmp
    C:\WINDOWS.1\22462515.tmp
    C:\WINDOWS.1\22462562.tmp
    C:\WINDOWS.1\22374500.tmp
    C:\WINDOWS.1\22374640.tmp
    C:\WINDOWS.1\22300656.tmp
    C:\WINDOWS.1\22300718.tmp
    C:\WINDOWS.1\22210937.tmp
    C:\WINDOWS.1\22211187.tmp
    C:\WINDOWS.1\22114703.tmp
    C:\WINDOWS.1\22114734.tmp
    C:\WINDOWS.1\22048328.tmp
    C:\WINDOWS.1\22048390.tmp
    C:\WINDOWS.1\21964828.tmp
    C:\WINDOWS.1\21964921.tmp
    C:\WINDOWS.1\21867078.tmp
    C:\WINDOWS.1\21867156.tmp
    C:\WINDOWS.1\21766062.tmp
    C:\WINDOWS.1\21766093.tmp
    C:\Program Files\Common Files\Y1220OU.exe
    C:\WINDOWS.1\system32\ouvjqep.dll
    
    Driver::
    qyire
    fcwlg
    
    NetSvc::
    qyire
    fcwlg
    
    Folder::
    C:\WINDOWS.1\system32\6RM22NOS
    C:\WINDOWS.1\system32\6M647WDJ
    C:\WINDOWS.1\system32\6GEDCJC0
    C:\WINDOWS.1\system32\5MJ4SW3P
    C:\WINDOWS.1\system32\546MKEZA
    C:\WINDOWS.1\system32\5NU4DWVU
    C:\WINDOWS.1\system32\4H1DGIUC
    C:\WINDOWS.1\system32\4ZQV70QW
    C:\WINDOWS.1\system32\4CELEGRJ
    C:\WINDOWS.1\system32\45LUI2Q0
    C:\WINDOWS.1\system32\3O8CAKML
    C:\WINDOWS.1\system32\3JGLE6L2
    C:\WINDOWS.1\system32\31425OHO
    C:\WINDOWS.1\system32\2VCB8BG5
    C:\WINDOWS.1\system32\2EZT1SCQ
    C:\WINDOWS.1\system32\27614FB7
    C:\WINDOWS.1\system32\1QVKWW6S
    C:\WINDOWS.1\system32\1K2S0J5A
    C:\WINDOWS.1\system32\1FA0344R
    C:\WINDOWS.1\system32\08IA6R38
    C:\WINDOWS.1\system32\0R5RZ8ZT
    C:\WINDOWS.1\system32\0RARULWJ
    C:\WINDOWS.1\system32\ZYEJBYP7
    C:\WINDOWS.1\system32\ZSLREKOP
    C:\WINDOWS.1\system32\Z48IK0PC
    C:\WINDOWS.1\system32\YYGQONOT
    C:\WINDOWS.1\system32\YH38G4KE
    C:\WINDOWS.1\system32\YBCHJRJV
    C:\WINDOWS.1\system32\YBGHE2GL
    C:\WINDOWS.1\system32\XH6GTTJZ
    C:\WINDOWS.1\system32\XZUYLBFK
    C:\WINDOWS.1\system32\XT26OXE1
    C:\WINDOWS.1\system32\WU56J8BR
    C:\WINDOWS.1\system32\WOEFNVA8
    C:\WINDOWS.1\system32\W015TCBV
    C:\WINDOWS.1\system32\VJPOLT6G
    C:\WINDOWS.1\system32\VDWWOG5X
    C:\WINDOWS.1\system32\V634S14F
    C:\WINDOWS.1\system32\UPSNKJ00
    C:\WINDOWS.1\system32\UKZVN5ZI
    C:\WINDOWS.1\system32\UE63RSYZ
    C:\WINDOWS.1\system32\T7EDUEXH
    C:\WINDOWS.1\system32\T2MLY0WY
    C:\WINDOWS.1\system32\TKA3QISJ
    C:\WINDOWS.1\system32\TWXTWYT5
    C:\WINDOWS.1\system32\SW1TRAQV
    C:\WINDOWS.1\system32\SR82UWPD
    C:\WINDOWS.1\system32\SMT3Z5E3
    C:\WINDOWS.1\system32\R4HLSNAP
    C:\WINDOWS.1\system32\RYPUVA86
    C:\WINDOWS.1\system32\RSW2YV8O
    C:\WINDOWS.1\system32\QN3B2I75
    C:\WINDOWS.1\system32\QHCJ536N
    C:\WINDOWS.1\system32\QZZ1YM27
    C:\WINDOWS.1\system32\PT6A171P
    C:\WINDOWS.1\system32\PORB6HQG
    C:\WINDOWS.1\system32\PIYKB3PX
    C:\WINDOWS.1\system32\O1ZU48BS
    C:\WINDOWS.1\system32\OV737UAA
    C:\WINDOWS.1\system32\OEVL0D5U
    C:\WINDOWS.1\system32\N72T3Y5C
    C:\WINDOWS.1\system32\NQQCVG0W
    C:\WINDOWS.1\system32\NLYKZ20E
    C:\WINDOWS.1\system32\MF5S2PZV
    C:\WINDOWS.1\system32\MXTBU6VG
    C:\WINDOWS.1\system32\MR1JYSUX
    C:\WINDOWS.1\system32\LM8S1FTG
    C:\WINDOWS.1\system32\L3WAUWP0
    C:\WINDOWS.1\system32\LGO0UPND
    C:\WINDOWS.1\system32\K0FWT3NQ
    C:\WINDOWS.1\system32\KJ3FLMJB
    C:\WINDOWS.1\system32\KQLZ3M18
    C:\WINDOWS.1\system32\JKS7780Q
    C:\WINDOWS.1\system32\JEZGBUZ7
    C:\WINDOWS.1\system32\JWNY2DVS
    C:\WINDOWS.1\system32\IRV66YUA
    C:\WINDOWS.1\system32\IL2FALTR
    C:\WINDOWS.1\system32\I33Q3QFM
    C:\WINDOWS.1\system32\HYBY7CF3
    C:\WINDOWS.1\system32\HSJ6BYEL
    C:\WINDOWS.1\system32\HB6P2GA5
    C:\WINDOWS.1\system32\GHBHKT1T
    C:\WINDOWS.1\system32\GT26LMZ5
    C:\WINDOWS.1\system32\FOAGO7YN
    C:\WINDOWS.1\system32\FIHORUX4
    C:\WINDOWS.1\system32\FD1PX3MW
    C:\WINDOWS.1\system32\EPTGYVK8
    C:\WINDOWS.1\system32\EJ0O1IJQ
    C:\WINDOWS.1\system32\E1P6TZFB
    C:\WINDOWS.1\system32\DWA7Z831
    C:\WINDOWS.1\system32\DFXQRQZN
    C:\WINDOWS.1\system32\D84YUDY4
    C:\WINDOWS.1\system32\C3C6YYYM
    C:\WINDOWS.1\system32\CL0PQHU6
    C:\WINDOWS.1\system32\CXRFR8RJ
    C:\WINDOWS.1\system32\BSZOUVQ0
    C:\WINDOWS.1\system32\B4QEVNOD
    C:\WINDOWS.1\system32\AYYNY8NU
    C:\WINDOWS.1\system32\ABPEZ1L6
    C:\WINDOWS.1\system32\A4XM3NKO
    C:\WINDOWS.1\system32\8Z4U6AK5
    C:\WINDOWS.1\system32\8CWL71HI
    C:\WINDOWS.1\system32\86HMDB6A
    C:\WINDOWS.1\system32\7P444T1U
    C:\WINDOWS.1\system32\7JP5B2RL
    C:\WINDOWS.1\system32\7EWEEOQ2
    C:\WINDOWS.1\system32\674MHBPK
    C:\WINDOWS.1\system32\6KVDI2NX
    C:\WINDOWS.1\system32\52KVBKJI
    C:\WINDOWS.1\system32\5FBMBDGU
    C:\WINDOWS.1\system32\58JUFYGC
    C:\WINDOWS.1\system32\43Q2ILFT
    C:\WINDOWS.1\system32\4MELB2BE
    C:\WINDOWS.1\system32\4GYMGCZ4
    C:\WINDOWS.1\system32\3B6UJYYM
    C:\WINDOWS.1\system32\34E2NKX3
    C:\WINDOWS.1\system32\3ZLCQ6WL
    C:\WINDOWS.1\system32\2H8TIOS6
    C:\WINDOWS.1\system32\2CTUOXHX
    C:\WINDOWS.1\system32\1OLLPPFA
    C:\WINDOWS.1\system32\1JSTSCER
    C:\Documents and Settings\Maxim\Application Data\CMedia
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5362:TCP"=-
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    Хорошая новость! Могу заходить на ваш сайт и на все остальные тоже. Можете сказать, пожалуйста, в чём была проблема?

    Выкладываю запрошенные вами файлы и лог.

    Вложение 252680

    Вложение 252681

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Эти файлы
    Код:
    C:\WINDOWS.1\system32\mpnotify.exe
    C:\WINDOWS.1\system32\Com\comrereg.exe
    проверьте на virustotal
    Ссылки на результат проверки сообщите

    Отключите восстановление системы

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    
    Driver::
    
    Folder::
    C:\WINDOWS.1\system32\1VKKT3C3
    C:\WINDOWS.1\system32\0PSSWQBL
    C:\WINDOWS.1\system32\0KDU1Z0D
    C:\WINDOWS.1\system32\0EK25LZU
    C:\WINDOWS.1\system32\Z8RB87YC
    C:\WINDOWS.1\system32\Z2YJCTXT
    C:\WINDOWS.1\system32\ZXKLI2MK
    C:\WINDOWS.1\system32\YG72ALI4
    C:\WINDOWS.1\system32\YYVL22EQ
    C:\WINDOWS.1\system32\YGJ2UKAB
    C:\WINDOWS.1\system32\XY6LM25V
    C:\WINDOWS.1\system32\XHV3FK1G
    C:\WINDOWS.1\system32\XZJL62W0
    C:\WINDOWS.1\system32\WI63YKSL
    C:\WINDOWS.1\system32\W0ULR1O6
    C:\WINDOWS.1\system32\WJJ3JKKR
    C:\WINDOWS.1\system32\VDQCM5J8
    C:\WINDOWS.1\system32\VVEUFOFT
    C:\WINDOWS.1\system32\VE1C65BE
    C:\WINDOWS.1\system32\T7T68UNE
    C:\WINDOWS.1\system32\T11FCGNV
    C:\WINDOWS.1\system32\SRGBUATX
    C:\WINDOWS.1\system32\S4KTXPHJ
    C:\WINDOWS.1\system32\RN7CP6C3
    C:\WINDOWS.1\system32\RNGCFU6K
    C:\WINDOWS.1\system32\RINKIH51
    C:\WINDOWS.1\system32\QUFBJ83E
    C:\WINDOWS.1\system32\QC2TCQZY
    C:\WINDOWS.1\system32\POUJCJWB
    C:\WINDOWS.1\system32\PP2J16RQ
    C:\WINDOWS.1\system32\PJAS5SQ7
    C:\WINDOWS.1\system32\O1XAXBMS
    C:\WINDOWS.1\system32\O25ANYG8
    C:\WINDOWS.1\system32\NFW0OQEL
    C:\WINDOWS.1\system32\N848RDD2
    C:\WINDOWS.1\system32\N8C9H07I
    C:\WINDOWS.1\system32\M3NIFY3P
    C:\WINDOWS.1\system32\M3VI4MY4
    C:\WINDOWS.1\system32\LSKRJ5PO
    C:\WINDOWS.1\system32\LTRR7TJ3
    C:\WINDOWS.1\system32\KNZ0CGJL
    C:\WINDOWS.1\system32\KI68F1I2
    C:\WINDOWS.1\system32\K0UR6KEN
    C:\WINDOWS.1\system32\J02RW772
    C:\WINDOWS.1\system32\JUAZ0U6K
    C:\WINDOWS.1\system32\JVIZPI1Z
    C:\WINDOWS.1\system32\IVPZF5VG
    C:\WINDOWS.1\system32\I7HQGXTS
    C:\WINDOWS.1\system32\H2OYJKSA
    C:\WINDOWS.1\system32\HFGPKCQM
    C:\WINDOWS.1\system32\GG0ICNAB
    C:\WINDOWS.1\system32\GSS8DF7O
    C:\WINDOWS.1\system32\GS082223
    C:\WINDOWS.1\system32\FC5JRJLN
    C:\WINDOWS.1\system32\FJN3AK2L
    C:\WINDOWS.1\system32\E7BDO3U3
    C:\WINDOWS.1\system32\E1IMRPTL
    C:\WINDOWS.1\system32\DEADSIRY
    C:\WINDOWS.1\system32\DQ12TAOB
    C:\WINDOWS.1\system32\D2TTU1MN
    C:\WINDOWS.1\system32\CXEUZBBE
    C:\WINDOWS.1\system32\CG5DM43O
    C:\WINDOWS.1\system32\BYTUFNZA
    C:\WINDOWS.1\system32\BM4CQJ0J
    C:\WINDOWS.1\system32\BHCKU500
    C:\WINDOWS.1\system32\ABJTXRZI
    C:\WINDOWS.1\system32\AO042UDD
    C:\WINDOWS.1\system32\8MSYKXCQ
    C:\WINDOWS.1\system32\8BH7YH28
    C:\WINDOWS.1\system32\7ZRPBD3I
    C:\WINDOWS.1\system32\7MDKJZP8
    C:\WINDOWS.1\system32\70KIRCIN
    C:\WINDOWS.1\system32\66CH62L1
    C:\WINDOWS.1\system32\61JPAOKJ
    C:\WINDOWS.1\system32\5EBGBHIV
    C:\WINDOWS.1\system32\57IOE2HD
    C:\WINDOWS.1\system32\51PWHPGU
    C:\WINDOWS.1\system32\4WX4LBFC
    C:\WINDOWS.1\system32\4Q4EOXET
    C:\WINDOWS.1\system32\42W4PPC5
    C:\WINDOWS.1\system32\32RCDQHC
    C:\WINDOWS.1\system32\3E5ACVOF
    C:\WINDOWS.1\system32\2FQ23684
    C:\WINDOWS.1\system32\2EUOMWXR
    C:\WINDOWS.1\system32\1255YTY0
    C:\WINDOWS.1\system32\1PQ06GKQ
    C:\WINDOWS.1\system32\1DOPHPVP
    C:\WINDOWS.1\system32\0PT8K4JC
    C:\WINDOWS.1\system32\THLDX4EO
    C:\WINDOWS.1\system32\Q8ONGZ4J
    C:\WINDOWS.1\system32\VH3Z4460
    C:\WINDOWS.1\system32\OXYYGZHA
    C:\WINDOWS.1\system32\EP74SRTW
    C:\WINDOWS.1\system32\BSM5W2S7
    C:\WINDOWS.1\system32\6D88T0U6
    C:\WINDOWS.1\system32\RTGC6UNJ
    C:\WINDOWS.1\system32\MB8BY84E
    C:\WINDOWS.1\system32\FV0OQ74S
    C:\WINDOWS.1\system32\81QP2I4Q
    C:\WINDOWS.1\system32\7GK1SJAR
    C:\WINDOWS.1\system32\YCT6KR8R
    C:\WINDOWS.1\system32\WA4M0XLM
    C:\WINDOWS.1\system32\WKC5YTR5
    C:\WINDOWS.1\system32\UCS8BNEJ
    C:\WINDOWS.1\system32\SKN88OO3
    C:\WINDOWS.1\system32\PNHGLO3Q
    C:\WINDOWS.1\system32\7FLBF1JJ
    C:\WINDOWS.1\system32\7A5CKB7A
    C:\WINDOWS.1\system32\HB6UDFX3
    C:\WINDOWS.1\system32\EXAQKTZ2
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    Распакуйте архив во вложении и внесите информацию в реестр двойным кликом левой кнопки мыши
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41
    mpnotify.exe - http://www.virustotal.com/ru/analisi...202-1279228492
    comrereg.exe - http://www.virustotal.com/ru/analisi...5d0-1279228657

    Я всё сделал.
    У меня вопрос. В папке system32, осталось куча подобных папок после вируса (т.е. то что мы удаляли в ComboFix это не все) их удалить вручную или оставить?

  19. #18
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    новый лог ComboFix приложите

  20. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,359
    Вес репутации
    3019
    Только не забудьте выполнить последний скрипт для ComboFix из ссобщения №16, если еще не сделали
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #20
    Junior Member Репутация
    Регистрация
    28.11.2006
    Сообщений
    27
    Вес репутации
    41

  • Уважаемый(ая) FOUX, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы с расширением .tmp типа 66,4,5,C,D,6B,5A
      От travis_200 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.10.2011, 23:53
    2. D001, F001, A001 и т.д.
      От Solinka в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.10.2010, 23:31
    3. MVCMIODE.exe и вирусы типа многацифар.exe
      От Papabearla в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.09.2010, 23:21
    4. вирусы файлф типа wind32.exe, w32sys4, w32sys2 и т.д
      От AMD в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 05:44
    5. на компе вирусы типа авторан
      От kusko в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:30

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01653 seconds with 16 queries