Для тех, чьи системы заражены вирусами!

[D_Master]

Если ваш компьютер посетили вирусы/трояны/шпионы и прочие вредоносные программы (или вы подозреваете; что в вашей системе хозяйничают разные паразиты) , то не спешите перестанавливать систему - все может обойтись, если правильно выполнить следующие пункты (займет примерно 20 минут вашего времени):

1. Скачайте сканер AVZ
2. Перед запуском AVZ Восстановление системы (Панель управления-Система-Восстановление системы-Отключить восстановление системы на всех дисках (поставить галочку)-Ок).
Закройте все активные приложения, включая антивирус и файрвол, оставьте включенным только браузер - чтобы читать данное руководство
3. Желательно подключить имеющиеся флэш-диски перед началом сканирования, или же отформатировать их.
4. Разархивируйте скаченный архив avz4.zip в отдельную папку
5. Запустите AVZ (Если работать с AVZ в обычных условиях не представляется возможности из-за SMS-блокеров то запустите deblocker.bat, который запустит AVZ на отдельном рабочем столе), Отметьте все разделы жесткого диска (если подключены флэшки, отметьте и их тоже) и откройте Файл-Стандартные скрипты, Выберите 7й скрипт ("Скрипт обновления, лечения и сбора информации Kaspersky Lab"). Нажмите "Выполнить отмеченные скрипты", После выполнения скрипта (потребуется ~ 10-20 минут в зависимости от размеров ваших жестких дисков) компьютер перезагрузится.
6. Выложите на фалообменик (Используйте следующие файлообменники:http://zalil.ru, http://files.mail.ru/ и http://disk.tom.ru/) (zip файл из каталога AVZ\LOG (файл KL_syscure.zip) и сообщите ссылку на архив здесь в теме.

---

Как сделать логи AVZ

Скрытый текст

 

Как сделать лог Malwarebytes Antimalware

Скрытый текст

Скачайте Malwarebytes' Anti-Malware и сохраните установочный файл.

Установите программу (во время установки откажитесь от использования Пробной версии). Запустите программу"Malwarebytes' Anti-Malware" с рабочего стола. 

Важно! В Windows Vista/7/8 программу нужно запускать через контекстное меню проводника от имени Администратора т.к. по умолчанию учетная запись Администратора понижена в правах.

Откроется главное окно MBAM в нем обновите базы MBAM, нажав на кнопку "Update Now". После установки обновлений перейдите на вкладку "Scan". На вкладке "Scan" выберите "Custom Scan" и нажмите на кнопку "Scan Now".


Затем напротив пункта "Custom Scanning Options" поставьте галочку "Scan For Rootkits". 

После этого отметьте галочками все жесткие диски и нажмите на кнопку "Start Scan". Пойдет процесс проверки, который займет некоторое время. По окончанию проверки нажмите на кнопку "Export Log".


Затем сохраните полученный лог как текстовой документ (txt-файл) на рабочем столе. Прикрепите этот лог в вашей теме.

5. Прикрепите его без переименования к Вашему следующему сообщению. 

 

---

Внимание! Любые вопросы по лечению зараженных компьютеров без предоставления логов будут игнорироваться!На сообщения в личку с просьбами посмотреть логи не отвечаю!

Уважаемые пользователи! Если вы обратились за помощью в этой теме, будьте терпеливы - доводите дело до конца, не нужно переустанавливать систему при первом же затруднении - тем самым вы сводите работу помогающих на нет, тратя и их, и своё время впустую.

Обновлено 11 ноября 2016. //VR

[Batt]

Логи:

ftp://ggw.stbur.ru/incoming/USERS/Batt

[VR]

Batt

После скрипта у тебя попрежнему наблюдаются эти симптомы? Нет доступа к сайту Касперского и отрубается инет

Скачайте ComboFix и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt залей его на фтп

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Установи эти заплатки от майкрософт MS08-067, MS08-068, MS09-001

[Tamerlan]

...

[VR]

Tamerlan

Какие у тебя проблеммы?

Пока выполни такой скрипт AVZ (как выполнить скрипт в шапке)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('sprp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Карантин загрузи на фтп

[ZyXEL12m94*41]

ZyXEL12m94*41

У тебя файловый вирусс Virus.Win32.Sality.aa тут AVZ не поможет скачайй Dr.Web LiveCD загрузись с него и произведи проверку компьютера

У тебя нет этой проги? На фтп залей если есть. Я заепся ждать пока она скачется с Улановки.

[VR]

У тебя нет этой проги? На фтп залей если есть. Я заепся ждать пока она скачется с Улановки.

Нет, ее нет, но есть альтернатива от Касперского Kaspersky Rescue Disk 8.8.1.35 пропиарю немного свою раздачу

P. S. Я не понял фтп ггв тоже сдох? Не позволяет загружать файлы, хоть свой фтп поднимай

[ZyXEL12m94*41]

VR не открывается, точнее открывется, видно первые две строчки, а потом загрузка страницы виснет. Куда нить залей ее пожалуйста.

[CSKA23]

Я не понял фтп ггв тоже сдох?

ggw полностью закрылся(((

[VR]

VR не открывается, точнее открывется, видно первые две строчки, а потом загрузка страницы виснет. Куда нить залей ее пожалуйста.

У меня все нормально открывается http://ulanovka.ru/forum/viewtopic.php?t=92809 Я бы скинул но незнаю куда залить, могу дать сылку на внешке

[D_Master]

У меня все нормально открывается

Некоторые вирусы блокируют загрузку страниц, в текстах которых упоминаются названия антивирусных продуктов.

ZyXEL12m94*41, меняй кодировку в браузере на какую-нибудь заморскую, чтобы вместо букв каракули отображались. Вполне возможно, что страница нормально откроется, а по кнопке скачать промахнуться тяжело =)

Upd:

Эх, фак, название-то на английском =)

Качай торрент напрямую, мб прокатит

[VR]

Некоторые вирусы блокируют загрузку страниц, в текстах которых упоминаются названия антивирусных продуктов.

Не знал, знал только что некоторые вирусы блокируют загрузку страниц, в адресе которых есть название антивирусов и тому подобного.

[ZyXEL12m94*41]

Ну кто нить то! Помогите хоть скраешку!!! VR залей на фтп программу, или на сибнет, или на депосит файлс. Как то неохото систему сносить с полным форматированием

[Loi]

пажалуста помогите народ я касперского устанавливаю и у меня вылазит "Внимание на вашем компьютере установлены приложения, совместное использование которых с касперским невозможно, прежде чем продолжить установку, необходимо удалить эти приложения." и написано удалить фаил "AVG 8" я нажала установка и удаление програм а там его нету скажите пожалуста как его удалить или что мне зделать пооооожалуста

[VR]

Качаешь вот эту утилиту http://www.avg.com/filedir/util/avg_arm_sup_____.dir/avgremover.exe (678 КБ) для удаления остатков от когда то установленного AVG 8 запускаешь и после завершения ее работы ставишь Касперского

[Loi]

спасибо большое

Добавлено спустя 2 минуты 37 секунд:

а кчтати это что вирус был???

[VR]

а кчтати это что вирус был???

Нет, это остатки от удаления антивируса AVG 8, который у вас стоял ранее.

[Максяра]

А можно логи в другое место залить? Я на фтп бурнета зайти не могу..

[CustomS]

Гляньте, есть ли что подозрительное.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:43:49, on 01.08.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

E:\INSTALL\Chameleon Clock\ChamClock.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

C:\Program Files\QIP\qip.exe

C:\Program Files\uTorrent\utorrent.exe

C:\Program Files\Download Master\dmaster.exe

D:\ПРОГИ\HiJackThis.exe

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MAgent] C:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HomeAlarm] E:\INSTALL\Chameleon Clock\ChamClock.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\uTorrent\utorrent.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - C:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Передать на удаленную закачку DM - C:\Program Files\Download Master\remdown.htm

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{77F4041E-6FCD-439E-838C-D119469536C5}: NameServer = 87.103.161.61,62.33.133.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{8EF81E18-96D7-4630-8543-BB53CD5C1EAD}: NameServer = 87.103.161.61 62.33.133.2

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/FEC6~1/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

--

End of file - 7444 bytes

[VR]

Максяра

Да можно

CustomS

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\CNAB4RPK.EXE

Вот эти файлы вызывают подозрения. Залей их куда ни бут или проверь сам вирустотоле. Принтер есть?

А вообще для полного нужны еще логи AVZ

[D_Master]

C:\WINDOWS\System32\TUProgSt.exe

Tune Utilites установлены?

[CSKA23]

VR

D_Master

Посмотрите пожалуйста)))

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:34:06, on 02.08.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Topos\cFosSpeed\spd.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

D:\WINDOWS\system32\uphclean.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\WINDOWS\ALCWZRD.EXE

D:\Program Files\A4Tech\Mouse\Amoumain.exe

D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

D:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe

D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

D:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Downloads\Архивы\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows XP 2008 by SamLab.ws

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Избранное

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - D:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - D:\PROGRA~1\DOWNLO~1\dmiehlp.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [WheelMouse] D:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [AVP] "D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [samsung Common SM] "D:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun

O4 - HKLM\..\Run: [MAgent] D:\Program Files\Mail.Ru\Agent\MAgent.exe -LM

O4 - HKLM\..\Run: [startCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [cFosSpeed] D:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [iE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Добавить в Анти-Баннер - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\Program Files\Download Master\dmieall.htm

O8 - Extra context menu item: Закачать при помощи Download Master - D:\Program Files\Download Master\dmie.htm

O8 - Extra context menu item: Найти в интернете - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/282

O8 - Extra context menu item: Найти в словарях - res://D:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll/283

O8 - Extra context menu item: Передать на удаленную закачку DM - D:\Program Files\Download Master\remdown.htm

O9 - Extra button: Cтатистика Веб-Антивируса - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - D:\Program Files\Download Master\dmaster.exe

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O17 - HKLM\System\CCS\Services\Tcpip\..\{8A1B9512-A679-40B9-8EB7-D4833DBAB37B}: NameServer = 192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9DEC70-F669-4ABC-8E18-8BC359A221BD}: NameServer = 87.103.161.61,62.33.133.2

O17 - HKLM\System\CS1\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O17 - HKLM\System\CS3\Services\Tcpip\..\{7A5435EA-8BD8-4B4E-BFFE-15C07A95970C}: NameServer = 87.103.161.61 62.33.133.2

O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - D:\Program Files\Topos\cFosSpeed\spd.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 10409 bytes

[VR]

D:\WINDOWS\system32\uphclean.exe

Вот это вызывает подозрение

[CSKA23]

VR

погуглил насчет uphclean.exe че то вроде пишут это продукт microsoft.

[VR]

CSKA23

Проверь его на http://www.virustotal.com

[CSKA23]

VR вот:

Файл uphclean.exe получен 2009.07.31 20:29:17 (UTC)

Антивирус Версия Обновление Результат

a-squared 4.5.0.24 2009.07.31 -

AhnLab-V3 5.0.0.2 2009.07.31 -

AntiVir 7.9.0.238 2009.07.31 -

Antiy-AVL 2.0.3.7 2009.07.31 -

Authentium 5.1.2.4 2009.07.31 -

Avast 4.8.1335.0 2009.07.31 -

BitDefender 7.2 2009.07.31 -

CAT-QuickHeal 10.00 2009.07.30 -

ClamAV 0.94.1 2009.07.31 -

Comodo 1827 2009.07.31 -

DrWeb 5.0.0.12182 2009.07.31 -

eTrust-Vet 31.6.6649 2009.07.31 -

F-Prot 4.4.4.56 2009.07.31 -

Fortinet 3.120.0.0 2009.07.31 -

GData 19 2009.07.31 -

Ikarus T3.1.1.64.0 2009.07.31 -

Jiangmin 11.0.800 2009.07.31 -

K7AntiVirus 7.10.807 2009.07.31 -

Kaspersky 7.0.0.125 2009.07.31 -

McAfee 5694 2009.07.31 -

McAfee+Artemis 5694 2009.07.31 -

McAfee-GW-Edition 6.8.5 2009.07.31 Heuristic.BehavesLike.Win32.Suspicious.L

Microsoft 1.4903 2009.07.31 -

NOD32 4295 2009.07.31 -

nProtect 2009.1.8.0 2009.07.31 -

Panda 10.0.0.14 2009.07.31 -

PCTools 4.4.2.0 2009.07.31 -

Prevx 3.0 2009.07.31 -

Rising 21.40.44.00 2009.07.31 -

Sophos 4.44.0 2009.07.31 -

Sunbelt 3.2.1858.2 2009.07.31 -

Symantec 1.4.4.12 2009.07.31 -

TheHacker 6.3.4.3.374 2009.07.30 -

TrendMicro 8.950.0.1094 2009.07.31 -

VBA32 3.12.10.9 2009.07.31 -

ViRobot 2009.7.31.1863 2009.07.31 -

VirusBuster 4.6.5.0 2009.07.31 -