Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Velton]

quarantine.zip

KL_syscure.zip

[VR]

Галсан

в логах чисто

[Лёха]

http://disk.tom.ru/vwhp444

[VR]

Лёха

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost32.exe','');
QuarantineFile('C:\WINDOWS\srtfl.exe','');
QuarantineFile('C:\Program Files\raidcall\raidcall.exe','');
BC_QrFile('C:\WINDOWS\svchost32.exe');
TerminateProcessByName('c:\windows\svchost32.exe');
QuarantineFile('c:\windows\svchost32.exe','');
DeleteFile('c:\windows\svchost32.exe');
BC_DeleteFile('c:\windows\svchost32.exe');
DeleteFile('C:\WINDOWS\srtfl.exe');
BC_DeleteFile('C:\WINDOWS\srtfl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Framework NGEN');
DeleteFile('C:\WINDOWS\svchost32.exe');
BC_DeleteFile('C:\WINDOWS\svchost32.exe');
DeleteService('MicrosoftNET');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
   CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[Лёха]

вот=)это после скрипта

[VR]

Velton

в логах чисто

Добавлено спустя 1 минуту 45 секунд:

Лёха

А где лог выполнения 2-го стандартного скрипта? В папке LOG должен был появится файл virusinfo_syscheck.zip

[Лёха]

VR

http://zalil.ru/31951196

[VR]

Лёха

ты опять залил карантин AVZ? файл quarantine.zip. а нужно залить новый лог файл virusinfo_syscheck.zip

[wnpsi]

http://zalil.ru/31964957

спасите плз.

этот backdoor.ddoser не хочет удаляться

[VR]

wnpsi

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Temp\wHWr0s4L.sys','');
DelBHO('{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}');
QuarantineFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\OmaCheck\updsvc.dll','');
QuarantineFile('c:\documents and settings\all users\application data\omacheck\updsvc.dll','');
DeleteFile('c:\documents and settings\all users\application data\omacheck\updsvc.dll');
BC_DeleteFile('c:\documents and settings\all users\application data\omacheck\updsvc.dll');
DeleteFile('C:\Documents and Settings\All Users\Application Data\OmaCheck\updsvc.dll');
BC_DeleteFile('C:\Documents and Settings\All Users\Application Data\OmaCheck\updsvc.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\OmahaCheckerUpdate\Parameters','ServiceDll');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
BC_DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\Program Files\PartyGaming\PartyPoker\RunApp.exe');
DeleteFile('C:\Temp\wHWr0s4L.sys');
BC_DeleteFile('C:\Temp\wHWr0s4L.sys');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
BC_DeleteFile('F:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[wnpsi]

http://zalil.ru/31965982

карантин

http://zalil.ru/31966040

2ой скрипт

[VR]

wnpsi

что с проблемой? в логах нечего плохого не увидел.

[spb_dqz]

VR

Привет! Переустановил систему и снова поймал тот же вирь jodrive32.exe (со старой флешки)

Продолжаем битву)

вот, что я знаю про эту заразу

Вирь создает файлы типа 12.exe 13.exe и тд в system32 а так же A.tmp, B.tmp в папке Application Data там же появляется wsprintsrv.exe. в корне диска С появляется xci32.exe Все эти файлы запускаются от имени администратора и висят в процессах, позже начинает запускаться iexplore.exe штук по 20-30 и начинает забивать канал. Вручную удаляются и с диска и с реестра, но появляются снова. Сам jodrive32.exe, судя по автозагрузке должен быть в папке windows, но его там нет. Его вообще нигде физически найти не могу. Он виден мне только в процессах.

Помоги плз

Вот 7-й скрипт

http://zalil.ru/31980462

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\02.exe','');
QuarantineFile('c:\program files\uniblue\registrybooster\registrybooster.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\c9mgr.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
BC_DeleteFile('C:\WINDOWS\jodrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
BC_DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','c9mgr');
DeleteFile('C:\WINDOWS\system32\02.exe');
DeleteFile('C:\WINDOWS\system32\33.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\56.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.

begin

После перзагрузки еще один скрипт AVZ:

begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
  end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[spb_dqz]

http://zalil.ru/31981125

http://zalil.ru/31981132

[VR]

Выполни скрипт AVZ (как выполнить скрипт - в шапке):

var i,j, k:integer;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\wsprintsrv.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\9.tmp','');
QuarantineFile('c:\documents and settings\Администратор\application data\5.tmp','');
DeleteFile('c:\documents and settings\Администратор\application data\5.tmp');
BC_DeleteFile('c:\documents and settings\Администратор\application data\5.tmp');
DeleteFile('c:\documents and settings\Администратор\application data\9.tmp');
BC_DeleteFile('c:\documents and settings\Администратор\application data\9.tmp');
DeleteFile('c:\documents and settings\Администратор\application data\a.tmp');
BC_DeleteFile('c:\documents and settings\Администратор\application data\a.tmp');
DeleteFile('c:\documents and settings\Администратор\local settings\application data\bromium\application\chrome.exe');
BC_DeleteFile('c:\documents and settings\Администратор\local settings\application data\bromium\application\chrome.exe');
DeleteFile('c:\windows\jodrive32.exe');
BC_DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe');
BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\addoon32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','adonpdf');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dsm8dasds');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\wsprintsrv.exe');
BC_DeleteFile('C:\Documents and Settings\Администратор\Application Data\wsprintsrv.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
BC_DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
BC_DeleteFile('C:\WINDOWS\system32\c9mgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','c9mgr');
DeleteFile('C:\WINDOWS\system32\78.exe');
BC_DeleteFile('C:\WINDOWS\system32\78.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
BC_DeleteFile('C:\WINDOWS\jodrive32.exe');
for i:=0 to 9 do
for j:=0 to 9 do
DeleteFile('C:\WINDOWS\system32\'+IntToStr(i)+IntToStr(j)+'.exe');
for k:=0 to 9 do
DeleteFile('c:\documents and settings\Администратор\application data\'+IntToStr(k)+'.tmp');
DeleteFileMask('c:\documents and settings\Администратор\application data\', '*.tmp;*.exe', false);
DeleteFileMask('%Tmp%', '*.*', true);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перзагрузки еще один скрипт AVZ:

begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
   end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

После чего сделать новые логи AVZ (2й стандартный скрипт AVZ)

[vit007]

http://zalil.ru/31988794

посмотри, пожалуйста

[VR]

vit007

В логах чисто. Выполни этот скрипт AVZ для исправления проблем IE

begin
ExecuteWizard('TSW',2,3,true);
end.

[spb_dqz]

http://zalil.ru/31991648

[VR]

spb_dqz

Ты снова выложил старые логи, от предыдущего сканирования

Сканирование запущено в 02.11.2011 20:49:25

[spb_dqz]

http://zalil.ru/31993282

http://zalil.ru/31993284

[VR]

Скачайте ComboFix , и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[spb_dqz]

VR Логи комбо

ComboFix 11-11-07.02 - Администратор 07.11.2011 17:57:22.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1430 [GMT 8:00]

Running from: c:\combofix\ComboFix.exe

.

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\Администратор\Application Data\33.tmp

c:\documents and settings\Администратор\Application Data\34.tmp

c:\documents and settings\Администратор\Application Data\35.tmp

c:\documents and settings\Администратор\Application Data\36.tmp

c:\documents and settings\Администратор\Application Data\37.tmp

c:\documents and settings\Администратор\Application Data\38.tmp

c:\documents and settings\Администратор\Application Data\39.tmp

c:\documents and settings\Администратор\Application Data\42.tmp

c:\documents and settings\Администратор\Application Data\43.tmp

c:\documents and settings\Администратор\Application Data\wsprintsrv.exe

c:\documents and settings\Администратор\iycs.exe

c:\recycler\R-1-5-21-1482476501-1644491937-682003330-1013\ winfixer c a r d .cmd

c:\windows\csfvo.exe

c:\windows\jodrive32.exe

c:\windows\msmqinst.log

c:\windows\regopt.log

c:\windows\system32\00.exe

c:\windows\system32\04.exe

c:\windows\system32\05.exe

c:\windows\system32\07.exe

c:\windows\system32\08.exe

c:\windows\system32\13.exe

c:\windows\system32\20.exe

c:\windows\system32\23.exe

c:\windows\system32\25.exe

c:\windows\system32\26.exe

c:\windows\system32\27.exe

c:\windows\system32\30.exe

c:\windows\system32\35.exe

c:\windows\system32\37.exe

c:\windows\system32\43.exe

c:\windows\system32\45.exe

c:\windows\system32\52.exe

c:\windows\system32\57.exe

c:\windows\system32\60.exe

c:\windows\system32\63.exe

c:\windows\system32\67.exe

c:\windows\system32\83.exe

c:\windows\system32\c9mgr.exe

.

.

((((((((((((((((((((((((( Files Created from 2011-10-07 to 2011-11-07 )))))))))))))))))))))))))))))))

.

.

2011-11-04 03:23 . 2011-11-04 03:23 98304 ----a-w- C:\xci32.exe

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-11-04 03:22 . 2011-11-04 03:22 98304 ------w- c:\documents and settings\Администратор\Application Data\Hevqvx.exe

2011-09-14 02:47 . 2011-09-14 02:47 53760 ----a-w- c:\windows\system32\OVDecode.dll

2011-09-14 02:47 . 2011-09-14 02:47 43520 ----a-w- c:\windows\system32\OpenCL.dll

2011-09-14 02:46 . 2011-09-14 02:46 13625856 ----a-w- c:\windows\system32\amdocl.dll

2011-09-14 02:38 . 2011-09-14 02:38 37376 ----a-w- c:\windows\system32\amdoclcl.dll

.

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RegistryBooster"="c:\program files\Uniblue\RegistryBooster\launcher.exe" [2011-08-18 67456]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-11-02 323376]

"adonpdf"="c:\documents and settings\Администратор\Application Data\addoon32.exe" [bU]

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QIP Internet Guardian]

2011-04-04 05:05 187776 ----a-w- c:\documents and settings\Администратор\Application Data\QipGuard\QipGuard.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryBooster]

2011-08-18 09:48 67456 ----a-w- c:\program files\Uniblue\RegistryBooster\Launcher.exe

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Garena Classic\\Garena.exe"=

"c:\\Program Files\\QIP 2010\\qip.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

.

R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31.10.2011 14:17 304464]

R2 QipGuard;QipGuard;c:\program files\QipGuard\QipGuard.exe [29.10.2011 0:34 187776]

R3 GGSAFERDriver;GGSAFER Driver;\??\c:\program files\Garena Classic\safedrv.sys --> c:\program files\Garena Classic\safedrv.sys [?]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [31.10.2011 14:17 20952]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24.10.2011 21:57 1691480]

.

Contents of the 'Scheduled Tasks' folder

.

2011-11-07 c:\windows\Tasks\RegistryBooster.job

- c:\program files\Uniblue\RegistryBooster\rbmonitor.exe [2011-10-31 09:48]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://qip.ru

uDefault_Search_URL = hxxp://search.qip.ru

uSearchAssistant = hxxp://search.qip.ru/ie

TCP: DhcpNameServer = 83.234.179.17 83.234.179.22

.

- - - - ORPHANS REMOVED - - - -

.

HKCU-Run-dsm8dasds - c:\documents and settings\Администратор\Application Data\wsprintsrv.exe

HKCU-Run-adonpdf - c:\documents and settings\Администратор\Application Data\addoon32.exe

HKLM-Run-Microsoft Config Setup - c:\windows\jodrive32.exe

HKLM-Run-c9mgr - c:\windows\system32\c9mgr.exe

MSConfigStartUp-c9mgr - c:\windows\system32\c9mgr.exe

MSConfigStartUp-Microsoft Config Setup - c:\windows\jodrive32.exe

MSConfigStartUp-Tnaww - c:\recycler\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-11-07 18:02

Windows 5.1.2600 Service Pack 3 NTFS

.

detected NTDLL code modification:

ZwEnumerateValueKey, ZwQueryDirectoryFile

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Hevqvx = c:\documents and settings\?????????????\Application Data\Hevqvx.exe

.

scanning hidden files ...

.

.

c:\documents and settings\Администратор\Application Data\Hevqvx.exe 98304 bytes executable

.

scan completed successfully

hidden files: 1

.

**************************************************************************

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Hevqvx"="c:\\Documents and Settings\\Администратор\\Application Data\\Hevqvx.exe"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

.

- - - - - - - > 'winlogon.exe'(700)

c:\windows\system32\Ati2evxx.dll

.

Completion time: 2011-11-07 18:04:55

ComboFix-quarantined-files.txt 2011-11-07 10:04

.

Pre-Run: 23,203,770,368 байт свободно

Post-Run: 23,168,491,520 байт свободно

.

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Home Edition RU" /noexecute=optin /fastdetect

.

- - End Of File - - B80F9D54BD5F912CCE208CB14063AA21

Добавлено спустя 2 минуты 38 секунд:

VR второй скрипт

http://zalil.ru/32008056

[KOHCTPyKTOP T]

http://file.sibnet.ru/get/file/?id=1041088

Посмотрите пожалуйста

Добавлено спустя 1 минуту 50 секунд:

http://zalil.ru/32009438 ну так

[Раднаев Кирилл]

http://zalil.ru/32016834