[grеatеst]

Можно узнать диагностика закончена?

[regist]

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[grеatеst]

На диске С/ появились ещё папки VritualRoot и Qoobox их нужно прикреплять к сообщению?

[regist]

grеatеst, малварь наконец проявилась в логе, но давайте пока ещё один лог сделаем

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
   
   • Sections
   • IAT/EAT
   • Show all
6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

9. Подробную инструкцию читайте в руководстве

+ проверьте

Код:

c:\windows\System32\ctfmon.exe

такой файл у вас есть ? А также виндоус как понимаю у вас сборка ?

[grеatеst]

Цитата regist:

+ проверьте c:\windows\System32\ctfmon.exe такой файл у вас есть ?»

Такого файла не нашёл. Так-так использую punto switcher за ненадобностью давно удалил чем-то ctfmon.exe, windows года полтора не переустанавливал, не вспомню сейчас, когда я удалял ctfmon.exe, но делал это точно я. На всякий случай прикрепил имена всех файлов из \System32\

Цитата:

А также виндоус как понимаю у вас сборка ?

Вроде нет... вот хеш суммы установочного диска
CRC32: FFFFFFFF
MD5: 02B46B7F74308D7D31E608DB8DDDDFFD
SHA-1: B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3

[grеatеst]

Сегодня заметил, что при вчерашнем сканировании, ComboFix , удалил без запросов программу xp-AntiSpy. Но ошибка так и продолжает появляться

[regist]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

Код:

KillAll::

File::


Driver::

Folder::


RegLock::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

RegLockDel::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

RegNull::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[iskander-k]

grеatеst,
Где брали ОС которая установлена ?

Читаем : http://forum.oszone.net/thread-104108.html

попробуйте отмените все обновления , для системы!,(для офиса можете не трогать ) после которых появилась проблема. Отменяйте по очереди установки начиная от последнего.

[grеatеst]

Цитата regist:

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. »

Готово

[grеatеst]

Цитата iskander-k:

Где брали ОС которая установлена ? »

Не помню кажется в интернете скачал или у знакомых А что?

Цитата iskander-k:

Читаем : http://forum.oszone.net/thread-104108.html »

Прочитал.

Цитата iskander-k:

попробуйте отмените все обновления , для системы!, после которых появилась проблема. Отменяйте по очереди установки начиная от последнего. »

Как это лучше сделать с загрузочного диска ERD Commander или через Установка удаление программ ?