Не работают скрипты в браузере. Есть подозрение на вирус!:(

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не работают скрипты в браузере. Есть подозрение на вирус!:(

Скрипты не работают ни в ІЕ, ни в Mozilla 3.

zhefran, придраться особе не к чему, у вас остался AVPTool от 13.05.2008, можете удалить.
Попробуйте сделать так:
Пуск -> Выполнить ->

Код:

regsvr32 jscript.dll

regsvr32 vbscript.dll

regsvr32 /i mshtml.dll

regsvr32 /i shell32.dll

regsvr32 /n /i:U shell32.dll



а также

regsvr32 msxml.dll

regsvr32 msxml2.dll

regsvr32 msxml3.dll



regsvr32 comuid.dll

regsvr32 comsvcs.dll

regsvr32 ole32.dll

regsvr32 oleaut32.dll

Если проблема не решиться:
1. Запустите Internet Explorer 7.
2. В меню Сервис выберите команду Свойства обозревателя.
3. На вкладке Дополнительно нажмите кнопку Сброс,
4. В диалоговом окне Сброс параметров настройки Internet Explorer нажмите кнопку Сброс.
Можно проверить некторые файлы.
Выполните в AVZ скрипт

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\User\Рабочий стол\shell-hook\Shell_Hook\SHELLHook.dll','');

 QuarantineFile('C:\WINDOWS\system32\drivers\egxfilter.sys','');

 QuarantineFile('C:\WINDOWS\System32\Drivers\UimFIO.SYS','');

 BC_ImportQuarantineList;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
Не забудьте установить (рекомендуется) Recovery Console по инструкции - how-to-use-combofix
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте и прикрепите ComboFix.txt к сообщению.

У меня IE6

zhefran, придраться особе не к чему, у вас остался AVPTool от 13.05.2008, можете удалить. - не удаляется
Не возможно открыть файл деинсталляция не возможна.

Ошибка скрипта: Undeclared identifier: 'BC_ImportQuartineList', позиция [7:22]

zhefran, опечатался, поправил скрипт, попробуйте ещё раз

Цитата:

Цитата zhefran

У меня IE6 »

для regsrv32 это не имеет значения, но можете ещё воспользоваться Dial-a-fix (поставьте галки в области Registration center и нажмите GO) или можете установить IE7.
Файлы в карантине чистые по virustotal, SHELLHook.dll ушел на доп. анализ в вирлаб

Не хочу я ставить IE7!

Вот лог с mbam

Цитата:

Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1166
Windows 5.1.2600 Service Pack 3

18.09.2008 17:15:20
mbam-log-2008-09-18 (17-15-20).txt

Тип проверки: Полная (C:\|D:\|G:\|)
Проверено объектов: 398446
Прошло времени: 2 hour(s), 43 minute(s), 2 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 1
Заражено файлов: 9

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\ssv.ssvhelper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{96a48b57-d55d-4b03-895d-7ee0281d1929} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5522e65b-6538-431a-bdaf-0b096a3fdd1c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{907c8fb0-1205-4189-99c9-9e8da884b0b0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IEAntiVirus (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\Program Files\IEAntiVirus (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Заражено файлов:
D:\avz4\avz4\Quarantine\2008-05-13\avz00003.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\avz00006.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\bcqr00005.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\bcqr00006.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\antivirus.exe (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db2 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db3 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db6 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\uninst.exe (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Цитата:

Цитата zhefran

Не хочу я ставить IE7! »

На ваше усмотрение

Цитата:

D:\avz4\avz4\Quarantine\2008-05-13\avz00003.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.

это ssvanasek.dll - мы его удалили тут
А новый карантин вы тогда мне так и не прислали и логи DSS не были сделаны. По логам этой темы IEAntiVirus не было видно. Сделайте ещё логи combofix и DSS

Цитата:

А новый карантин вы тогда мне так и не прислали и логи DSS не были сделаны. По логам этой темы IEAntiVirus не было видно. Сделайте ещё логи combofix и DSS

Каюсь :(

Combofix уже сделал - прикрепил к предыдущему посту.

Пара вопросов:
1. Я смогу удалить AVP Tool;
2. Combofix ничего лишнего не удалил?

Делаю DSS. Вернее не делаю

По поводу DSS нарыл такое

Цитата:

Deckard's System Scanner interacts with a specific rootkit (tdssserv) in a way that may make your system unusable (altering the svchost netsvcs registry entry). This download link has been removed until a fix is released by Deckard. For your own protection, please do not attempt to download this tool from other sites. 08/17/2008 Your Geeks to Go admin team

Цитата:

Цитата zhefran

. Я смогу удалить AVP Tool; »

Да. Запустите AVPTool, найдите кн. "полная антивирусная защита", нажмите. Можете скачать свежую версию AVPTool и провериться.

Цитата:

Цитата zhefran

2. Combofix ничего лишнего не удалил? »

В основном удален flashget, он небезопасен
почитайте статью о flashget, ещё тут, tmasrv.exe д.б. not-a-virus:AdWare.Win32.TMAgent.f

Проверьте файлы на virustotal.com

Цитата:

C:\Program Files\Mozilla Firefox\plugins\NPE2Host.dll
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::

H:\AutoRun.exe

E:\Run.exe



Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61ac2c-af2a-11dc-9c12-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df95754a-af29-11dc-9a1c-806d6172696f}]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix скопируйте и выложите текст из C:\ComboFix.txt в сообщение.
По поводу DSS - спасибо, убрал из правил. Если проблема ещё не исчезла и рекомендании по regsrv32 и Dial-a-fix не помогли:
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту, после проверки скопируйте текст из из C:\Report.txt в сообщение.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение.

Я методом научного втыка определил, что скрипты рубает Ad Muncher!
Логи будут по позже!

Цитата:

Цитата Pili

По поводу DSS - спасибо, убрал из правил. »

Чем могу!

Файл NPE2Host.dll получен 2008.09.19 09:14:14 (CET)

Антивирус Версия Обновление Результат
AhnLab-V3 2008.9.19.0 2008.09.19 -
AntiVir 7.8.1.34 2008.09.18 -
Authentium 5.1.0.4 2008.09.19 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.19 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6091 2008.09.16 -
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.19 -
F-Secure 8.0.14332.0 2008.09.19 -
Fortinet 3.113.0.0 2008.09.19 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.19 -
McAfee 5387 2008.09.18 -
Microsoft 1.3903 2008.09.19 -
NOD32v2 3453 2008.09.18 -
Norman 5.80.02 2008.09.18 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.19 -
Rising 20.62.40.00 2008.09.19 -
Sophos 4.33.0 2008.09.19 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 -
TheHacker 6.3.0.9.087 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.18 -
ViRobot 2008.9.19.1382 2008.09.19 -
VirusBuster 4.5.11.0 2008.09.18 -
Webwasher-Gateway 6.6.2 2008.09.19 -
Дополнительная информация
File size: 102400 bytes
MD5...: 84a2df4f6448b04c4d654018a7055eec
SHA1..: ddbf7194683816c93cd1541bdedf9384afb1b3b8
SHA256: de00a692355cf50233506ab6caa8b43b80162f44f72b380a45219442df358d98
SHA512: 64dfcc2f751f2e7486ca53ed980a82139347b01c9760e4e3926ffc5cbca54cfd
b50ff522e07aeaf3cae1f22cad0656fb96d9beb2f5baa252d3a3b4cded7cbe5f
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7185a0d2
timedatestamp.....: 0x4835d9d5 (Thu May 22 20:38:45 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xffb3 0x10000 6.56 b5c5bb80f4a9e8f36eb8487e506d5563
.rdata 0x11000 0x352f 0x4000 4.62 1ea3f8774039ec0ca3a1f050f7414aad
.data 0x15000 0x177c 0x1000 3.61 18a9b6fc85455328e389927cfd2b81af
.rsrc 0x17000 0x4d0 0x1000 1.28 191d71283ee5f07dc9fc6a624a84a5f6
.reloc 0x18000 0x1a42 0x2000 4.19 62a005c3db455eae36a8867a4de85f08

( 5 imports )
> KERNEL32.dll: LockResource, LoadResource, FindResourceW, FindResourceExW, HeapFree, GetProcessHeap, MultiByteToWideChar, GlobalUnlock, GlobalLock, GlobalAlloc, lstrcpyW, GetLastError, MulDiv, FlushInstructionCache, GetCurrentProcess, HeapAlloc, lstrlenW, lstrcmpW, GetModuleFileNameW, GetCurrentThreadId, InterlockedIncrement, InterlockedDecrement, VirtualFree, HeapCreate, GetCommandLineA, SizeofResource, GetStringTypeA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, LoadLibraryA, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TerminateProcess, LCMapStringW, WideCharToMultiByte, LCMapStringA, GetSystemInfo, VirtualProtect, GetModuleHandleA, GetProcAddress, TlsGetValue, TlsSetValue, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, GetVersionExW, GetThreadLocale, GetLocaleInfoA, GetACP, GetStringTypeW, InterlockedExchange, TlsFree, SetLastError, RtlUnwind, TlsAlloc, VirtualQuery, SetUnhandledExceptionFilter, GetModuleFileNameA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, IsBadWritePtr, VirtualAlloc, ExitProcess, LocalFree, HeapSize, HeapReAlloc, HeapDestroy, GetVersionExA
> USER32.dll: DestroyAcceleratorTable, GetWindowLongW, DestroyWindow, SendMessageW, UnregisterClassW, DefWindowProcW, SetWindowTextW, GetWindowTextW, GetWindowTextLengthW, RegisterClassExW, LoadCursorW, GetClassInfoExW, wsprintfW, CreateWindowExW, CreateAcceleratorTableW, CharNextW, GetParent, GetClassNameW, SetWindowPos, RedrawWindow, IsWindow, GetDlgItem, SetFocus, GetFocus, IsChild, GetWindow, SetWindowLongW, BeginPaint, EndPaint, CallWindowProcW, GetDesktopWindow, InvalidateRgn, InvalidateRect, ReleaseDC, GetDC, GetClientRect, FillRect, SetCapture, ReleaseCapture, GetSysColor, RegisterWindowMessageW
> GDI32.dll: GetStockObject, GetObjectW, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, DeleteDC, SelectObject, DeleteObject, CreateSolidBrush
> ole32.dll: OleRun, CoCreateInstance, CreateStreamOnHGlobal, OleUninitialize, StringFromGUID2, CoTaskMemAlloc, OleLockRunning, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, CoUninitialize, CoInitializeEx, OleInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 3 exports )
NP_GetEntryPoints, NP_Initialize, NP_Shutdown

По второму файлу - он используется по роботе!

Код:

SDFix: Version 1.221 

Run by Ђ¤¬Ё*Ёбва*в®а on 19.09.2008 at 11:04



Microsoft Windows XP [‚ҐабЁп 5.1.2600]

Running From: C:\SDFix



Checking Services :





Restoring Default Security Values

Restoring Default Hosts File



Rebooting





Checking Files : 



Trojan Files Found:



C:\WINDOWS\system32\admdll.dll  - Deleted











Removing Temp Files



ADS Check :

 





                                 Final Check :



catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-19 11:09:57

Windows 5.1.2600 Service Pack 3 NTFS



scanning hidden processes ...



scanning hidden services & system hive ...



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"

"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?X?)?"=str(7):"1\0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]

"\24\4>\4:\4C\4<\0045\4=\4B\4K\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=C:\Documents and Settings\All Users\>:C<5=BK\0Permissions=0\0Remark=\0Type=0\0"

"\37\4@\4>\0043\4@\0040\4<\48\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\@>3@0<8\0Permissions=0\0Remark=\0Type=0\0"

"\20\4@\4E\48\0042\4K\4 ?O?l?d? ?P?C?"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\@E82K Old PC\0Permissions=0\0Remark=\0Type=0\0"

"\24\4>\0043\4>\0042\4V\4@\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\>3>2V@\0Permissions=0\0Remark=\0Type=0\0"

"\27\0040\0042\0040\4=\4B\0040\0046\0045\4=\4=\4O\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\0Permissions=0\0Remark=\0Type=0\0"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000002



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000001

"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:e1,9b,54,60,8b,cb,6e,d1,f6,88,d7,34,c8,64,23,7b,cb,50,7a,47,df,..



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..

"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:03,08,13,6a,a3,73,ec,00,9d,3f,00,45,bb,b9,b1,da,d4,e8,a7,a0,0a,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]

"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"

"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021

"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:8e,7e,60,3c,4e,e9,45,62,be,52,c6,6f,ed,02,2f,35,3f,ff,21,92,d2,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..

"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:e2,f0,2f,9d,6d,10,50,0e,90,07,74,0f,6f,3b,88,c8,62,4f,a2,14,e5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000001

"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:a4,1a,08,69,65,8c,f3,46,08,cb,bf,34,92,bc,a3,50,91,6c,08,ae,c4,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..

"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:74,e4,5c,41,62,ae,9c,0e,0e,f8,81,d3,7c,ac,dd,02,10,4d,d2,27,9d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]

"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"

"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021

"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"

"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0"

"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?X?)?"=str(7):"1\0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\lanmanserver\Shares]

"\24\4>\4:\4C\4<\0045\4=\4B\4K\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=C:\Documents and Settings\All Users\>:C<5=BK\0Permissions=0\0Remark=\0Type=0\0"

"\37\4@\4>\0043\4@\0040\4<\48\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\@>3@0<8\0Permissions=0\0Remark=\0Type=0\0"

"\20\4@\4E\48\0042\4K\4 ?O?l?d? ?P?C?"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\@E82K Old PC\0Permissions=0\0Remark=\0Type=0\0"

"\24\4>\0043\4>\0042\4V\4@\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\>3>2V@\0Permissions=0\0Remark=\0Type=0\0"

"\27\0040\0042\0040\4=\4B\0040\0046\0045\4=\4=\4O\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\0Permissions=0\0Remark=\0Type=0\0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]

"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"

"h0"=dword:00000001

"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:e1,9b,54,60,8b,cb,6e,d1,f6,88,d7,34,c8,64,23,7b,cb,50,7a,47,df,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..

"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:03,08,13,6a,a3,73,ec,00,9d,3f,00,45,bb,b9,b1,da,d4,e8,a7,a0,0a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]

"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"

"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021

"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"



scanning hidden registry entries ...



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]

"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?W?i?n?d?o?w?s?"="",,,,,,,,,,,,,""

"\37\4>\0044\0042\48\0046\4=\0040\4O\4 ?W?i?n?d?o?w?s?"=""C:\WINDOWS\Cursors\rainbow.ani,,C:\WINDOWS\Cursors\appstart.ani,C:\WINDOWS\Cursors\hourglas.ani,C:\WINDOWS\Cursors\cross.cur,,,,C:\WINDOWS\Cursors\sizens.ani,C:\WINDOWS\Cursors\sizewe.ani,C:\WINDOWS\Cursors\sizenwse.ani,C:\WINDOWS\Cursors\sizenesw.ani,,""

"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\0045\4;\0040\4O\4"=""C:\WINDOWS\Cursors\3dwarro.cur,,C:\WINDOWS\Cursors\appstar3.ani,C:\WINDOWS\Cursors\hourgla3.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\3dwno.cur,C:\WINDOWS\Cursors\3dwns.cur,C:\WINDOWS\Cursors\3dwwe.cur,C:\WINDOWS\Cursors\3dwnwse.cur,C:\WINDOWS\Cursors\3dwnesw.cur,C:\WINDOWS\Cursors\3dwmove.cur,""

" \4C\4:\48\4 ?1?"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\handapst.ani,C:\WINDOWS\Cursors\hand.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\hnodrop.cur,C:\WINDOWS\Cursors\hns.cur,C:\WINDOWS\Cursors\hwe.cur,C:\WINDOWS\Cursors\hnwse.cur,C:\WINDOWS\Cursors\hnesw.cur,C:\WINDOWS\Cursors\hmove.cur,""

" \4C\4:\48\4 ?2?"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\handapst.ani,C:\WINDOWS\Cursors\handwait.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\handno.ani,C:\WINDOWS\Cursors\handns.ani,C:\WINDOWS\Cursors\handwe.ani,C:\WINDOWS\Cursors\handnwse.ani,C:\WINDOWS\Cursors\handnesw.ani,C:\WINDOWS\Cursors\hmove.cur,""

"\24\48\4=\4>\0047\0040\0042\4@\4"=""C:\WINDOWS\Cursors\3dgarro.cur,,C:\WINDOWS\Cursors\dinosaur.ani,C:\WINDOWS\Cursors\dinosau2.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\banana.ani,C:\WINDOWS\Cursors\3dsns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dsnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dsmove.cur,""

"\22\4 ?A\4B\0040\4@\4>\4<\4 ?A\4B\48\4;\0045\4"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\horse.ani,C:\WINDOWS\Cursors\barber.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\coin.ani,C:\WINDOWS\Cursors\3dgns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dgnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dgmove.cur,""

"\24\48\4@\48\0046\0045\4@\4"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\drum.ani,C:\WINDOWS\Cursors\metronom.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\piano.ani,C:\WINDOWS\Cursors\hns.cur,C:\WINDOWS\Cursors\hwe.cur,C:\WINDOWS\Cursors\hnwse.cur,C:\WINDOWS\Cursors\hnesw.cur,C:\WINDOWS\Cursors\hmove.cur,""

"#\0042\0045\4;\48\4G\0045\4=\4=\0040\4O\4"=""C:\WINDOWS\Cursors\larrow.cur,,C:\WINDOWS\Cursors\lappstrt.cur,C:\WINDOWS\Cursors\lwait.cur,C:\WINDOWS\Cursors\lcross.cur,C:\WINDOWS\Cursors\libeam.cur,,C:\WINDOWS\Cursors\lnodrop.cur,C:\WINDOWS\Cursors\lns.cur,C:\WINDOWS\Cursors\lwe.cur,C:\WINDOWS\Cursors\lnwse.cur,C:\WINDOWS\Cursors\lnesw.cur,C:\WINDOWS\Cursors\lmove.cur,""

"\22\0040\4@\48\0040\4F\48\48\4"=""C:\WINDOWS\Cursors\fillitup.ani,,C:\WINDOWS\Cursors\raindrop.ani,C:\WINDOWS\Cursors\counter.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\wagtail.ani,C:\WINDOWS\Cursors\sizens.ani,C:\WINDOWS\Cursors\sizewe.ani,C:\WINDOWS\Cursors\sizenwse.ani,C:\WINDOWS\Cursors\sizenesw.ani,""

"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\4@\4>\4=\0047\4>\0042\0040\4O\4"=""C:\WINDOWS\Cursors\3dgarro.cur,,C:\WINDOWS\Cursors\appstar2.ani,C:\WINDOWS\Cursors\hourgla2.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\3dgno.cur,C:\WINDOWS\Cursors\3dgns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dgnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dgmove.cur,""

"'\0045\4@\4=\0040\4O\4 ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"

"'\0045\4@\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"

"'\0045\4@\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"

"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"="C:\WINDOWS\cursors\arrow_i.cur,C:\WINDOWS\cursors\help_i.cur,C:\WINDOWS\cursors\wait_i.cur,C:\WINDOWS\cursors\busy_i.cur,C:\WINDOWS\cursors\cross_i.cur,C:\WINDOWS\cursors\beam_i.cur,C:\WINDOWS\cursors\pen_i.cur,C:\WINDOWS\cursors\no_i.cur,C:\WINDOWS\cursors\size4_i.cur,C:\WINDOWS\cursors\size3_i.cur,C:\WINDOWS\cursors\size2_i.cur,C:\WINDOWS\cursors\size1_i.cur,C:\WINDOWS\cursors\move_i.cur,C:\WINDOWS\cursors\up_i.cur"

"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_im.cur,C:\WINDOWS\cursors\help_im.cur,C:\WINDOWS\cursors\wait_im.cur,C:\WINDOWS\cursors\busy_im.cur,C:\WINDOWS\cursors\cross_im.cur,C:\WINDOWS\cursors\beam_im.cur,C:\WINDOWS\cursors\pen_im.cur,C:\WINDOWS\cursors\no_im.cur,C:\WINDOWS\cursors\size4_im.cur,C:\WINDOWS\cursors\size3_im.cur,C:\WINDOWS\cursors\size2_im.cur,C:\WINDOWS\cursors\size1_im.cur,C:\WINDOWS\cursors\move_im.cur,C:\WINDOWS\cursors\up_im.cur"

"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_il.cur,C:\WINDOWS\cursors\help_il.cur,C:\WINDOWS\cursors\wait_il.cur,C:\WINDOWS\cursors\busy_il.cur,C:\WINDOWS\cursors\cross_il.cur,C:\WINDOWS\cursors\beam_il.cur,C:\WINDOWS\cursors\pen_il.cur,C:\WINDOWS\cursors\no_il.cur,C:\WINDOWS\cursors\size4_il.cur,C:\WINDOWS\cursors\size3_il.cur,C:\WINDOWS\cursors\size2_il.cur,C:\WINDOWS\cursors\size1_il.cur,C:\WINDOWS\cursors\move_il.cur,C:\WINDOWS\cursors\up_il.cur"

"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_m.cur,C:\WINDOWS\cursors\help_m.cur,C:\WINDOWS\cursors\wait_m.cur,C:\WINDOWS\cursors\busy_m.cur,C:\WINDOWS\cursors\cross_m.cur,C:\WINDOWS\cursors\beam_m.cur,C:\WINDOWS\cursors\pen_m.cur,C:\WINDOWS\cursors\no_m.cur,C:\WINDOWS\cursors\size4_m.cur,C:\WINDOWS\cursors\size3_m.cur,C:\WINDOWS\cursors\size2_m.cur,C:\WINDOWS\cursors\size1_m.cur,C:\WINDOWS\cursors\move_m.cur,C:\WINDOWS\cursors\up_m.cur"

"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_l.cur,C:\WINDOWS\cursors\help_l.cur,C:\WINDOWS\cursors\wait_l.cur,C:\WINDOWS\cursors\busy_l.cur,C:\WINDOWS\cursors\cross_l.cur,C:\WINDOWS\cursors\beam_l.cur,C:\WINDOWS\cursors\pen_l.cur,C:\WINDOWS\cursors\no_l.cur,C:\WINDOWS\cursors\size4_l.cur,C:\WINDOWS\cursors\size3_l.cur,C:\WINDOWS\cursors\size2_l.cur,C:\WINDOWS\cursors\size1_l.cur,C:\WINDOWS\cursors\move_l.cur,C:\WINDOWS\cursors\up_l.cur"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptions]

"\37\4\32\4"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]

"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices]

"\20\0042\4B\4>\4 ?T?e?k?t?r?o?n?i?x? ?P?h?a?s?e?r? ?7?8?0? ?G?r?a?p?h?i?c?s? ?=\0040\4 ?S?A?S?H?A?1?"="winspool,Ne00:"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts]

"\20\0042\4B\4>\4 ?T?e?k?t?r?o?n?i?x? ?P?h?a?s?e?r? ?7?8?0? ?G?r?a?p?h?i?c?s? ?=\0040\4 ?S?A?S?H?A?1?"="winspool,Ne00:,15,45"



scanning hidden files ...



scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0





Remaining Services :









Authorized Application Key Export:



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"

"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"



Remaining Files :





File Backups: - C:\SDFix\backups\backups.zip



Files with Hidden Attributes :



Fri 25 Jan 2008       126,976 ...H. --- "C:\Documents and Settings\All Users\„®Єг¬Ґ*вл\~WRL0002.tmp"

Fri 25 Jan 2008       126,976 ...H. --- "C:\Documents and Settings\All Users\„®Єг¬Ґ*вл\~WRL0004.tmp"



Finished!

Пофиксите в hijackthis

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Можете проверить на virustotal.com файлы

Цитата:

C:\WINDOWS\_MSRSTRT.EXE
C:\WINDOWS\system32\huffyuv.dll
C:\WINDOWS\SYSTEM32\DRIVERS\NM.SYS
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\swsc.exe
C:\WINDOWS\fdsv.exe
C:\WINDOWS\system32\bzpdf.dll
C:\Documents and Settings\User\Рабочий стол\shell-hook\Shell_Hook\SHELLHook.dll

Подозрительные файлы (туда же можно включить WZCSLDR2.exe) можете запаковать с паролем virus и отправить newvirus<at>kaspersky.com, когда придет ответ, сообщите.

Цитата:

Цитата Pili

C:\WINDOWS\SYSTEM32\DRIVERS\NM.SYS »

нету такого файла

zhefran, попробуйте поискать через AVZ - сервис-поиск файлов, там же есть возможность добавить в карантин

Цитата:

Цитата Pili

zhefran, попробуйте поискать через AVZ - сервис-поиск файлов, там же есть возможность добавить в карантин »

Не нашел!
Кстати, при отключеном Ad Muncher скрипты выполняются, он наверное думает, что это реклама!:)

Цитата:

Цитата zhefran

при отключеном Ad Muncher »

Рекомендую использовать Firefox с плагином NoScript, гораздо удобнее )