Перейти к содержанию
  • 0

Для тех, чьи системы заражены вирусами!


D_Master

Вопрос

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.



Как сделать логи AVZ

Скрытый текст


qq1_973ee46551d748ce58baa21c9bdd86cf.jpg
qq2_86be563127bc2737bfd3ecce17920c32.jpg
qq3.jpg

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 
XKMfDeG.png
Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

4231517m.png


Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".
4221277m.png

Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 
4219229m.png


После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".
4223329m.png

Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 



Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.


Обновлено 11 ноября 2016. //VR

Ссылка на комментарий

Рекомендуемые сообщения

  • 0

Justice

Знаешь что за драйвера C:\Windows\system32\drivers\pe3ajcyb.sys и C:\Windows\system32\drivers\pf2ajcyb.sys ?

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\pr2ajcyb.exe','');
QuarantineFile('C:\Windows\system32\drivers\pf2ajcyb.sys','');
QuarantineFile('C:\Windows\system32\drivers\pe3ajcyb.sys','');
QuarantineFile('C:\Users\JFYJFJ~1\AppData\Local\Temp\ALSysIO64.sys','');
QuarantineFile('c:\program files (x86)\viewpower2.08\console\viewpowertray.exe','');
QuarantineFile('c:\progra~2\viewpo~1.08\upsmon~1.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай новую версию AVZ и сделай новые логи AVZ ( стандартный скрипт AVZ)

Так же сделай лог Gmer

Загрузите GMER

Запустите программу, начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и выложи его.

Ссылка на комментарий
  • 0

CoolNero

После перзагрузки еще один скрипт AVZ:


SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('EagleXNt');
DeleteService('vproiah');
QuarantineFile('C:\Windows\system32\DRIVERS\vproiah.sys','');
QuarantineFile('C:\Windows\system32\drivers\EagleXNt.sys','');
QuarantineFile('C:\Windows\system32\Drivers\PROCEXP141.SYS','');
DeleteFile('C:\Windows\system32\DRIVERS\vproiah.sys');
DeleteFile('C:\Windows\system32\drivers\EagleXNt.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',1,1,true);
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай новую версию AVZ и сделай новые логи AVZ (2й стандартный скрипт AVZ)

Добавлено спустя 54 секунды:

lamo_:)

Что за объект? Что с ним сделала?

Ссылка на комментарий
  • 0

CoolNero

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('f:\programm files\steam\bin\SteamService.exe','');
QuarantineFile('C:\Windows\system32\xfcodec.dll','');
QuarantineFile('C:\Windows\System32\drivers\AmdLLD.sys','');
QuarantineFile('C:\Windows\system32\Wat\WatAdminSvc.exe','');
DeleteService('npggsvc');
QuarantineFile('C:\Windows\system32\GameMon.des','');
DeleteFile('C:\Windows\system32\GameMon.des');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
begin

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай новую версию AVZ и сделай новые логи AVZ ( стандартный скрипт AVZ)

Ссылка на комментарий
  • 0
Знаешь что за драйвера C:\Windows\system32\drivers\pe3ajcyb.sys и C:\Windows\system32\drivers\pf2ajcyb.sys ?
от track mania origin
QuarantineFile('c:\program files (x86)\viewpower2.08\console\viewpowertray.exe','');

QuarantineFile('c:\progra~2\viewpo~1.08\upsmon~1.exe','');

это файлы драйвера ups, а не вирусы)

ALSysIO64.sys, вроде это от core temp, он у меня есть.

уберите метку со следующих пунктов:

Sections

IAT/EAT

Show all

они все disabled, сняты

GMER 1.0.15.15641 -

http://www.gmer.net

Rootkit scan 2011-11-12 01:18:38

Windows 6.1.7601 Service Pack 1

Running: n5rt8vck.exe

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0:\4>\4=\4B\4@\4>\4;\4;\0045\4@\4 \0N\0V\0I\0D\0I\0A\0 \0n\0F\0o\0r\0c\0e 1?2?

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0I\0S\0A\0T\0A\0P 1?2?3?4?5?

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0006\0t\0o\0004 1?2?

Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0:\4>\4=\4B\4@\4>\4;\4;\0045\4@\4 \0N\0V\0I\0D\0I\0A\0 \0n\0F\0o\0r\0c\0e 1?2?

Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0I\0S\0A\0T\0A\0P 1?2?3?4?5?

Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0006\0t\0o\0004 1?2?

---- Files - GMER 1.0.15 ----

File C:\Users\jfyjfjfjyyf\AppData\Local\Last.fm\Client\jstq_submissions.xml 0 bytes

---- EOF - GMER 1.0.15 ----

лог авз попозже выложу

что будет с файлами на карантине? у меня от этого дрова на ибп не слетят?

Ссылка на комментарий
  • 0

когда включил проверку на первых этапах там сообщения были, что-то вроде "проверено функций 284, перехвачено 12, восстановлено 12". что-то было нейтрализовано. какая-та фигня типа callcallback. вобщем попробую вечером сделать скриншот. кстати еще страницу взломали сегодня. наверно все-таки что-то есть.

Ссылка на комментарий
  • 0

Justice

от track mania origin

что то страная какаето игра, что ставит драйвера.

что будет с файлами на карантине? у меня от этого дрова на ибп не слетят?

нет не слетят. При карантине просто копируется файл и все, не каких других действий с ним не совершается.

Добавлено спустя 2 минуты 24 секунды:

BorisBritva

когда включил проверку на первых этапах там сообщения были, что-то вроде "проверено функций 284, перехвачено 12, восстановлено 12". что-то было нейтрализовано. какая-та фигня типа callcallback.

так и должно быть, это не вирусы. Для такого чтоб проверить системы AVZ встраивается в цепочку WIN API функций, чтоб проверить нет ли там левых перхвачиков и так. далее. После завершение проверка восстанавливает исходные API

Добавлено спустя 1 минуту 7 секунд:

lamo_:)

блин а что тогда у меня с компом?

по чему хром так сильно грузит систему?

Но это точно связанно не с вирусней, ведать какие то проблеммы именно с хромом

Добавлено спустя 2 минуты 14 секунд:

CoolNero

quarantine.zip: http://zalil.ru/32037532

Логи (2 стандартный скрипт): http://zalil.ru/upload/32037714

по обоим ссылкам скачивается quarantine.zip

Ссылка на комментарий
  • 0
Выполни скрипт AVZ (как выполнить скрипт - в шапке):


SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\pr2ajcyb.exe','');
QuarantineFile('C:\Windows\system32\drivers\pf2ajcyb.sys','');
QuarantineFile('C:\Windows\system32\drivers\pe3ajcyb.sys','');
QuarantineFile('C:\Users\JFYJFJ~1\AppData\Local\Temp\ALSysIO64.sys','');
QuarantineFile('c:\program files (x86)\viewpower2.08\console\viewpowertray.exe','');
QuarantineFile('c:\progra~2\viewpo~1.08\upsmon~1.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
begin

вылетает сразу-же

Сигнатура проблемы:

Имя события проблемы: APPCRASH

Имя приложения: avz.exe

Версия приложения: 4.37.0.12

Отметка времени приложения: 2a425e19

Имя модуля с ошибкой: ntdll.dll

Версия модуля с ошибкой: 6.1.7601.17514

Отметка времени модуля с ошибкой: 4ce7ba58

Код исключения: c0000005

Смещение исключения: 00046d4e

Версия ОС: 6.1.7601.2.1.0.256.1

Код языка: 1049

Дополнительные сведения 1: e8ad

Дополнительные сведения 2: e8adce1c2b9e7be834b4063ac3c53863

Дополнительные сведения 3: e8ad

Дополнительные сведения 4: e8adce1c2b9e7be834b4063ac3c53863

Ссылка на комментарий
  • 0

ToNY667

Выполни скрипт AVZ (как выполнить скрипт - в шапке):


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\jodrive32.exe');
TerminateProcessByName('c:\documents and settings\Дом\application data\8a.tmp');
TerminateProcessByName('c:\documents and settings\Дом\application data\8f.tmp');
TerminateProcessByName('c:\documents and settings\Дом\application data\88.tmp');
QuarantineFile('E:\AutoRun.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\KB905474\wgasetup.exe','');
QuarantineFile('C:\WINDOWS\jodrive32.exe','');
QuarantineFile('C:\WINDOWS\System32\hidserv.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Application Data\elep32.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Application Data\aon32.exe','');
QuarantineFile('C:\Documents and Settings\Дом\Application Data\Abcqcq.exe','');
QuarantineFile('c:\windows\jodrive32.exe','');
QuarantineFile('c:\documents and settings\Дом\application data\8a.tmp','');
QuarantineFile('c:\documents and settings\Дом\application data\8f.tmp','');
QuarantineFile('c:\documents and settings\Дом\application data\88.tmp','');
DeleteFile('c:\documents and settings\Дом\application data\88.tmp');
DeleteFile('c:\documents and settings\Дом\application data\8f.tmp');
DeleteFile('c:\documents and settings\Дом\application data\8a.tmp');
DeleteFile('c:\windows\jodrive32.exe');
DeleteFile('C:\Documents and Settings\Дом\Application Data\Abcqcq.exe');
DeleteFile('C:\Documents and Settings\Дом\Application Data\aon32.exe');
DeleteFile('C:\Documents and Settings\Дом\Application Data\elep32.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\AutoRun.exe');
DeleteFile('C:\WINDOWS\jodrive32.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','elepha');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','t2fview');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Abcqcq');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
DeleteFileMask('c:\documents and settings\Дом\application data\', '*.tmp;*.exe', false);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перзагрузки еще один скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Архив quarantine.zip залить на файлообменник, ссылку сюда.

Скачай новую версию AVZ и сделай новые логи AVZ ( стандартный скрипт AVZ)

Добавлено спустя 14 минут 59 секунд:

Justice

Во время выполнения лога AVZ и GMER вредоносный процес svchost работал?

Сделай еще лог ComboFix

Скачайте ComboFix , и сохраните на рабочий стол.

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
  • 0
Во время выполнения лога AVZ и GMER вредоносный процес svchost работал?
был на паузе

ComboFix 11-11-13.01 - jfyjfjfjyyf 13.11.2011 22:29:04.1.2 - x64

Microsoft Windows 7 Максимальная 6.1.7601.1.1251.7.1049.18.4095.2199 [GMT 8:00]

Running from: c:\users\jfyjfjfjyyf\Desktop\ComboFix.exe

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Created a new restore point

.

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\jfyjfjfjyyf\AppData\Roaming\jfyjfjfjyyflog.dat

c:\windows\PFRO.log

c:\windows\system32\consrv.dll

c:\windows\System64

c:\windows\SysWow64\install

c:\windows\SysWow64\install\WIN.exe

.

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Service_ONETWO

.

.

((((((((((((((((((((((((( Files Created from 2011-10-13 to 2011-11-13 )))))))))))))))))))))))))))))))

.

.

2011-11-13 14:33 . 2011-11-13 14:33 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-11-11 09:10 . 2011-11-11 09:10 7168 ----a-w- c:\windows\SysWow64\drivers\utm4mjk3.sys

2011-11-11 07:41 . 2011-11-11 07:41 11264 ----a-w- c:\windows\SysWow64\drivers\uzm4mjk3.sys

2011-11-10 22:23 . 2011-11-10 22:23 19123536 ----a-w- c:\users\jfyjfjfjyyf\AppData\Roaming\TESV.exe

2011-11-10 22:23 . 2011-11-10 22:23 1880400 ----a-w- c:\users\jfyjfjfjyyf\AppData\Roaming\SkyrimLauncher.exe

2011-11-10 16:54 . 2011-11-10 16:55 -------- d-----w- C:\Fraps

2011-11-10 16:31 . 2011-11-12 03:12 -------- d-----w- c:\users\jfyjfjfjyyf\AppData\Local\Skyrim

2011-11-10 16:16 . 2008-05-30 06:11 540688 ----a-w- c:\windows\system32\d3dx10_38.dll

2011-11-10 12:16 . 2011-11-10 12:16 -------- d-----w- c:\program files (x86)\Common Files\Java

2011-11-10 12:15 . 2011-10-02 18:50 544656 ----a-w- c:\windows\SysWow64\deployJava1.dll

2011-11-10 12:14 . 2011-11-11 07:49 -------- d-----w- c:\program files (x86)\Java

2011-11-10 03:59 . 2011-11-10 03:59 -------- d-----w- c:\users\jfyjfjfjyyf\AppData\Local\Chromium

2011-11-10 03:48 . 2011-11-10 03:48 -------- d-----w- c:\programdata\Rockstar Games

2011-11-10 03:48 . 2011-11-10 03:48 -------- d--h--w- c:\program files (x86)\InstallShield Installation Information

2011-11-10 03:46 . 2011-11-10 03:46 -------- d-----w- c:\program files (x86)\Rockstar Games

2011-11-09 08:20 . 2011-11-09 08:20 -------- d-----w- c:\users\jfyjfjfjyyf\AppData\Roaming\AccurateRip

2011-11-09 08:20 . 2011-11-09 08:20 3835624 ----a-w- c:\windows\SysWow64\SpoonUninstall.exe

2011-11-09 08:19 . 2011-11-09 08:20 -------- d-----w- c:\program files (x86)\dBpoweramp

2011-11-09 07:38 . 2011-11-09 07:38 -------- d-----w- c:\program files (x86)\SDA

2011-11-09 07:38 . 2011-11-09 07:38 -------- d-----w- c:\users\jfyjfjfjyyf\AppData\Local\Downloaded Installations

2011-11-05 08:51 . 2011-11-05 08:51 0 ----a-w- c:\windows\ativpsrm.bin

2011-11-05 08:44 . 2011-11-05 08:44 -------- d-----w- c:\program files (x86)\AMD APP

2011-11-05 08:43 . 2011-11-05 08:43 -------- d-----w- c:\program files\ATI

2011-11-05 08:43 . 2011-11-05 08:43 -------- d-----w- c:\program files\ATI Technologies

2011-11-05 08:42 . 2011-11-05 08:42 -------- d-----w- C:\ATI

2011-11-05 08:21 . 2011-11-05 08:38 -------- d-----w- c:\program files (x86)\Driver Sweeper

2011-11-03 07:04 . 2011-11-03 07:04 -------- d-----w- c:\programdata\Dyn

2011-11-03 07:04 . 2011-11-03 07:04 -------- d-----w- c:\program files (x86)\Dyn Updater

2011-10-28 13:55 . 2011-10-28 13:55 -------- d-----w- c:\program files (x86)\Microsoft XNA

2011-10-22 11:05 . 2011-10-22 11:05 71680 ----a-w- c:\windows\system32\frapsv64.dll

2011-10-22 11:05 . 2011-10-22 11:05 65536 ----a-w- c:\windows\SysWow64\frapsvid.dll

2011-10-19 15:23 . 2011-11-06 16:47 -------- d-----w- c:\users\jfyjfjfjyyf\AppData\Local\MooExt

2011-10-19 15:09 . 2011-10-19 16:04 -------- d-----w- c:\program files\Ranked Gaming Client

2011-10-18 13:32 . 2011-10-18 13:34 -------- d-----w- c:\program files (x86)\Punto Switcher

2011-10-16 15:33 . 2011-10-22 10:27 -------- d---a-w- c:\users\jfyjfjfjyyf\AppData\Roaming\.minecraft

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-10-05 13:09 . 2011-09-09 16:51 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2011-09-28 14:21 . 2011-09-28 14:20 43520 ----a-w- c:\windows\SysWow64\CmdLineExt03.dll

2011-09-28 14:06 . 2011-09-28 14:06 249856 ------w- c:\windows\Setup1.exe

2011-09-28 14:06 . 2011-09-28 14:06 73216 ----a-w- c:\windows\ST6UNST.EXE

2011-09-19 06:30 . 2011-09-19 06:30 660368 ----a-w- c:\windows\system32\deployJava1.dll

2011-09-10 15:55 . 2011-09-10 15:11 2829 ----a-w- c:\windows\War3Unin.pif

2011-09-10 15:55 . 2011-09-10 15:11 139264 ----a-w- c:\windows\War3Unin.exe

2011-09-09 16:13 . 2011-09-09 16:13 419840 ----a-w- c:\windows\system32\wrap_oal.dll

2011-09-09 16:13 . 2011-09-09 16:13 413696 ----a-w- c:\windows\SysWow64\wrap_oal.dll

2011-09-09 16:13 . 2011-09-09 16:13 111616 ----a-w- c:\windows\system32\OpenAL32.dll

2011-09-09 16:13 . 2011-09-09 16:13 102400 ----a-w- c:\windows\SysWow64\OpenAL32.dll

2011-08-22 08:07 . 2011-09-20 14:25 62064 ----a-w- c:\windows\system32\drivers\vmx86.sys

2011-08-22 08:07 . 2011-09-20 14:24 942192 ----a-w- c:\windows\system32\vnetlib64.dll

2011-08-22 08:07 . 2011-09-20 14:25 354416 ----a-w- c:\windows\SysWow64\vmnetdhcp.exe

2011-08-22 08:06 . 2011-09-20 14:24 432752 ----a-w- c:\windows\SysWow64\vmnat.exe

2011-08-22 08:06 . 2011-09-20 14:24 32880 ----a-w- c:\windows\system32\drivers\VMkbd.sys

2011-08-22 08:06 . 2011-09-20 14:24 30320 ----a-w- c:\windows\system32\drivers\vmnetuserif.sys

2011-08-22 06:40 . 2011-08-22 06:40 252016 ----a-w- c:\windows\SysWow64\vmnc.dll

2011-08-22 06:12 . 2011-08-22 06:12 62064 ----a-w- c:\windows\system32\vmnetbridge.dll

2011-08-22 06:12 . 2011-08-22 06:12 48752 ----a-w- c:\windows\system32\vnetinst.dll

2011-08-22 06:12 . 2011-08-22 06:12 45680 ----a-w- c:\windows\system32\drivers\vmnetbridge.sys

2011-08-22 06:12 . 2011-08-22 06:12 24176 ----a-w- c:\windows\system32\drivers\vmnet.sys

2011-08-22 06:12 . 2011-08-22 06:12 20080 ----a-w- c:\windows\system32\drivers\vmnetadapter.sys

2011-08-21 14:11 . 2011-09-20 14:24 39024 ----a-w- c:\windows\system32\drivers\hcmon.sys

.

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]

"Punto Switcher"="c:\program files (x86)\Punto Switcher\ps.exe" [2008-05-14 719040]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"AVP"="c:\program files (x86)\Kaspersky Internet Security 2011\avp.exe" [2010-11-02 365336]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-05-04 252136]

.

c:\users\jfyjfjfjyyf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Punto Switcher.lnk - c:\program files (x86)\Punto Switcher\punto.exe [N/A]

ViewPower.lnk - c:\program files (x86)\ViewPower2.08\ViewPower.exe [2011-10-5 116224]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableInstallerDetection"= 0 (0x0)

"EnableLUA"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer2"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

.

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 pr2ajcyb;TrackMania Original Drivers Auto Removal (pr2ajcyb);c:\windows\system32\pr2ajcyb.exe svc [x]

R3 ALSysIO;ALSysIO;c:\users\JFYJFJ~1\AppData\Local\Temp\ALSysIO64.sys [x]

R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]

R3 GGSAFERDriver;GGSAFER Driver;c:\program files (x86)\Garena Plus\Room\safedrv.sys [x]

R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]

R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]

R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [x]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]

R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]

R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]

R3 upsTomcat;Apache Tomcat upsTomcat;c:\program files (x86)\ViewPower2.08\tomcat\bin\tomcat6.exe [2011-04-15 57344]

R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]

R4 Dyn Updater;Dyn Updater;c:\program files (x86)\Dyn Updater\DynUpSvc.exe [2011-10-21 95608]

S0 pe3ajcyb;TrackMania Original Environment Driver (pe3ajcyb);c:\windows\system32\drivers\pe3ajcyb.sys [x]

S0 pf2ajcyb;TrackMania Original File System Driver (pf2ajcyb);c:\windows\system32\drivers\pf2ajcyb.sys [x]

S0 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys [x]

S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]

S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]

S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]

S2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [x]

S2 SCPDFReadSpool;SolidConverterPDFReadSpool;c:\program files (x86)\Solid Converter PDF\SCPDF\SolidConverterPDFServicex64.exe [2010-12-21 209920]

S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe [2011-08-21 846448]

S2 VMwareHostd;VMware Workstation Server;c:\program files (x86)\VMware\VMware Workstation\vmware-hostd.exe [2011-08-22 11837440]

S2 vstor2-mntapi10-shared;Vstor2 MntApi 1.0 Driver (shared);SysWOW64\drivers\vstor2-mntapi10-shared.sys [x]

S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]

S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]

S3 cmudaxp;ASUS Xonar Essence STX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [x]

S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]

.

.

.

--------- x86-64 -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio8788GX"="c:\windows\syswow64\HsMgr.exe" [2008-07-11 200704]

"Cmaudio8788GX64"="c:\windows\system\HsMgr64.exe" [2008-07-11 282112]

"Launch LGDCore"="c:\program files\Common Files\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1783296]

"combofix"="c:\combofix\CF951.3XE" [2010-11-21 345088]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Supplementary Scan -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = about:blank

mStart Page = about:blank

LSP: %SystemRoot%\system32\vsocklib.dll

TCP: Interfaces\{75DDDE7D-B936-4597-98D1-F91F1E4D4E64}: NameServer = 46.21.240.2 94.25.51.99

TCP: Interfaces\{8DCFD890-1D2B-4B85-A769-CE5B6FBCF821}: NameServer = 46.21.240.2 94.25.51.99

FF - ProfilePath - c:\users\jfyjfjfjyyf\AppData\Roaming\Mozilla\Firefox\Profiles\ujlovgyj.default\

.

- - - - ORPHANS REMOVED - - - -

.

Wow6432Node-HKLM-Run-StartCCC - c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

SafeBoot-71664589.sys

AddRemove-dBpoweramp DSP Effects - c:\windows\system32\SpoonUninstall.exe

AddRemove-dBpoweramp Music Converter - c:\windows\system32\SpoonUninstall.exe

.

.

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Other Running Processes ------------------------

.

c:\progra~2\VIEWPO~1.08\UPSMON~1.EXE

c:\program files (x86)\ViewPower2.08\jre\bin\javaw.exe

c:\windows\SysWOW64\vmnat.exe

c:\windows\SysWOW64\vmnetdhcp.exe

c:\program files (x86)\VMware\VMware Workstation\vmware-authd.exe

c:\program files (x86)\ViewPower2.08\jre\bin\javaw.exe

c:\program files (x86)\ViewPower2.08\Console\ViewPowerTray.exe

c:\program files (x86)\Winamp\winamp.exe

c:\program files (x86)\Last.fm\LastFM.exe

.

**************************************************************************

.

Completion time: 2011-11-13 22:42:07 - machine was rebooted

ComboFix-quarantined-files.txt 2011-11-13 14:42

.

Pre-Run: 4 759 076 864 байт свободно

Post-Run: 4 665 987 072 байт свободно

.

- - End Of File - - 66D88CB9B7B53A64190A4EE8A3E07B12

что за syswow64 и system64?

Ссылка на комментарий

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...