Решена Как вылечить Windows 7 от kido. Лечилка виндовс 7


Эффективные лечащие утилиты. Правильная настройка Dr.Web Cureit и Kaspersky Virus Removal Tool

21 01 2012      Admin       6 комментариев

Лечим компьютер самостоятельно

Правда ли антивирусная лечащая утилита бесплатно!? Да представьте совершенно безвозмездно! Если не вникать во все тонкости этого бизнеса. Вся проблема  бесплатного софта в том, что он бесплатный, а как известно бесплатный сыр бывает только…. Во всяком случае мы, пользователи пк ничего не теряем.

Если позволите немного лирики…

В условиях глобального масштаба распространения вирусной среды на бескрайних просторах интернета, очень актуальным является защита пользователя от этой заразы. На этом бедствии простого обывателя, нас с вами дорогой пользователь, поверьте мне куплено не мало ценных вещей и весьма дорогих..мм..вещей.

Но всё же создатели сжалились и даруют нам некоторые абсолютно бесплатные продукты: бесплатные антивирусы, анти авто запуски чего-то там и так далее и тому подобное… Но, что лично по мне так это всего лишь рекламный ход.

Сегодня  затронем очень важную тему в жизнедеятельности и стабильного функционирования нашей с вами любимой OS Windows.Поговорим немного об эффективных лечащих утилитах, отнюдь не защищающих наш пк от угрозы вирусных атак в реальном времени, а помогающих выявить внедрившийся вредоносный код (вирус), выявить и уничтожить напрочь! Дабы мы с вами спокойно спали.

Да кстати, чтобы не пришлось воспользоваться моими инструкциями в этой статье предлагаю вам установить отличную защиту от угрозы вирусов  антивирус-фаервол Avira premium security suite Отлично! Что я рекомендую исходя из своего опыта, из бесплатных утилит. Во первых это совершенно бесплатный отличный вирусный чистильщик Dr.Web Cureit.спасавший меня не раз.

Бесплатный антивирус Dr Web Cureit

Бесплатный антивирус Dr Web Cureit

И во вторых, удивительно, но бесплатный продукт лаборатории Касперского  Kaspersky Virus Removal Tool. И как нибудь затронем тему AVZ.

Бесплатная лечащая утилита Kaspersky Virus Removal Tool

Бесплатная лечащая утилита Kaspersky Virus Removal Tool

И так давайте разберёмся, что же умеют эти два бойца с вирусами. Почему я их обобщаю, потому, что принцип возложенных на них задач и наших  надежд одинаков. То есть оба предназначены для проверки дискового пространства на наличие засевших там нежелательных и пагубных элементов то бишь троянов, червей и всякой нечисти той же масти…

Начнём по традиции с разбора установки, настройки первого заявленного  участника Dr Web Cureit. В конце статьи приведу ссылки с официальных сайтов по которым вы абсолютно бесплатно сможете скачать эти программы. Допустим вы скачали установочный файл Dr Web Cureit кликаем по нему два раза левой кнопкой мышки. Установочный файл должен выглядеть примерно так:

Бесплатная лечащая утилита Dr Web Cureit

Бесплатная лечащая утилита Dr Web Cureit

Чем примечательна установка Dr Web Cureit… тем, что её нет! 🙂 мы просто запускаем программу и она в принципе готова к работе это очень актуально когда компьютер заражён и запуск, а уж тем более установка программ очень затруднены.

Здорово что эта небольшая бесплатная антивирусная программа лечит даже блокированные вирусом системы как например в случае который я описывал с трояном-Winlock Trojan. Кстати вот вам и альтернативное лечение этого недуга.

Хорошо, идём дальше установщик запустили, видим вышло окно с предложением запустить Dr Web Cureit в режиме усиленной защиты вот он тот случай который я описал чуть выше, но сейчас он нам не нужен нажимаем отмена.

Бесплатная лечащая утилита Dr Web Cureit установка

Бесплатная лечащая утилита Dr Web Cureit установка

Затем нам предлагают посетить сайт для показа условий покупки платного программного обеспечения, что нам тоже в данный момент ни к чему.

Бесплатная лечащая утилита Dr Web Cureit установка

Бесплатная лечащая утилита Dr Web Cureit установка

В итоге приходим наконец-то к финальному окну с предложением выполнить запуск собственно бесплатного проверочника Dr Web Cureit, что мы с радостью и делаем.

Бесплатная лечащая утилита Dr Web Cureit запуск

Бесплатная лечащая утилита Dr Web Cureit запуск

Хорошо, нам предлагают запустить экстренную, быструю проверку основных системных файлов, тут у нас нет другого выбора как согласиться иначе программа просто не запустится.

Смотрим программа начала подготовку к сканированию файлов, как только он закончил с подготовкой нажимаем кнопочку стоп. Ведь в самую первую очередь мы должны настроить прогу, затем уже приступать к проверке благо мы находимся не в экстренном режиме нажимаем кнопочку настройки.

Бесплатная лечащая утилита Dr Web Cureit настройка

Бесплатная лечащая утилита Dr Web Cureit настройка

Во вкладке общие ставим галочку авто сохранение настроек и галочку использовать звуки. Нас интересует ещё вкладка действия.

Объекты: Инфицированные-вылечить. Неизлечимые — удалить. Подозрительные — информировать.

Инфицированные пакеты: Архивы-переместить Контейнеры-переместить Под действием переместить подразумевается поместить в карантин, в последствии все  попавшие файлы в карантин можно либо удалить либо восстановить.

Папка карантина находится по адресу: Локальный диск С: /пользователи/папка администратора/DoctorWeb/Quarantine. В тех пунктах , что справа везде выставляем переместить.

Бесплатная лечащая утилита Dr Web Cureit настройка

Бесплатная лечащая утилита Dr Web Cureit настройка

И в последней интересующей нас вкладке типы файлов, нужно поставить галочку файлы в архивах. На этом настройка завершена не забудьте снизу нажать применить и ок. Отлично! На главной Dr Web Cureit я обычно настраиваю выборочную проверку, радио переключатель на выборочная проверка и справа в древе списка выбираем локальные диски либо отдельные папки для сканирования.

Бесплатная лечащая утилита Dr Web Cureit настройка

Бесплатная лечащая утилита Dr Web Cureit настройка

Замечательно! Теперь осталось только нажать на зелёную стрелочку (запустить проверку) и..ложиться спать, так как в зависимости от объёма ваших жёстких дисков поиск может продолжаться значительное время, к тому же настройки мы подправили на тщательный поиск вирусов. Лучше один раз всё проверить и спать спокойно.

Поздравляю! с Dr. Web Cureit мы разобрались, остался Kaspersky Virus Removal Tool. Начнём пожалуй.

В отличии от Dr Web, раньше Kaspersky Virus Removal Too требовала интеграции в системный реестр (установки) и более тщательной настройки поиска и удаления вредоносных файлов. Но сегодня мы видим разработчики максимально упростили этот процесс вот только не могу пока понять хорошо это или плохо. И так запускаем скачанный установщик:

Бесплатная лечащая утилита Kaspersky Virus Removal Tool установка

Бесплатная лечащая утилита Kaspersky Virus Removal Tool установка

Хорошо, нас интересует вкладка настройка. Зашли в настройки левее видим вкладка уровень безопасности в ней опять же пункт настройка, в сплывшем окне помечаем галочкой:  проверять файлы почтовых форматов…

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка

Следующая интересующая нас вкладка дополнительно. На этом этапе нам необходимо проставить галочки на: Сигнатурный поиск уязвимостей и Углублённый анализ файлов.

А так же, выставить ползунок эвристического анализа в положение средний. Можете экспериментировать и выставлять глубокий, но поверьте мне если ваше время дорого стоит то придётся им пожертвовать, так как проверка займёт уйму времени, и это не единственный минус, почему?

Да потому, что количество ложных срабатываний увеличивается, а они нам совсем ни к чему.

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка

Жмём ок и переходим на вкладку действия. Ставим радио переключатель в положение выполнить действие все галочки должны быть проставлены!

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка поиска

Бесплатная лечащая утилита Kaspersky Virus Removal Tool настройка поиска

Чудесно! Наш Kaspersky Virus Removal Tool настроен и готов к бою. Возвращаемся на вкладку область проверки отмечаем интересующие нас места я советую проставлять все верхние строчки и выбор жёстких дисков по желанию, если конечно их несколько 🙂

Далее сверху вкладка лечение вручную и как финал — запустить сбор информации. Всё наш Каспер начал то, собственно для чего он предназначен, вот только разработчики почему-то не всегда по умолчанию устанавливают настройки в том виде в каком нам хотелось бы…

Как и обещал вот ссылочки на скачивание:Dr Web Cureit

Бесплатная лечащая утилита Kaspersky Virus Removal Tool

Помогли ли вам мои советы? Жду ответов в комментариях).

На этом рискну откланяться, до новых встреч!C уважением,pc-polzovatel.ru

Очень обяжете, если поделитесь страничкой!

pc-polzovatel.ru

Бесплатная лечащая утилита Dr.Web CureIt!® работающая в Windows 7! - Программы для Windows 7 - Программы для Windows 7 - Драйвера под Windows 7

Примечание: для того чтобы скачать Программу нужно зарегистрироваться.

На Вашем ПК установлен другой антивирус, но вы сомневаетесь в его эффективности?

С помощью бесплатной утилиты Dr.Web CureIt!® без установки Dr.Web в системе Вы можете быстро проверить Ваш компьютер, и, в случае обнаружения вредоносных объектов, вылечить его.

Как убедиться, что Ваш компьютер инфицирован вирусами?

  1. Скачайте Dr.Web CureIt!®, сохранив утилиту на жесткий диск.
  2. Запустите сохраненный файл на исполнение (дважды щелкните по нему левой кнопкой мышки).
  3. Дождитесь окончания сканирования и изучите отчет о проверке. Вам нужны другие доказательства?:)
  • Незаменимое средство для лечения компьютеров под управлением MS Windows 95OSR2/98/Me/NT 4.0/2000/XP/2003/2008/Vista/7 от вирусов, руткитов, троянских программ, шпионского ПО и разного рода вредоносных объектов, которые не «увидел» установленный на Вашем ПК антивирус.
  • C помощью Dr.Web CureIt! Вы сможете регулярно контролировать эффективность установленного на Вашем ПК антивируса и вовремя понять, не пора ли его сменить на Dr.Web.
  • Dr.Web CureIt! не требует установки, не конфликтует ни с одним антивирусом, а значит, на время сканирования не требуется отключать установленный антивирус другого производителя.
  • Dr.Web CureIt! cодержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час.

Dr.Web CureIt! автоматически определяет язык используемой ОС (в случае, если локальный язык не поддерживается, устанавливается английский язык). В настоящее время утилита поддерживает интерфейс на следующих 35 языках: русский, английский, арабский, армянский, белорусский, болгарский, венгерский, вьетнамский, голландский, греческий, грузинский, испанский, итальянский, китайский (упрощ.), китайский (трад.), корейский, латышский, литовский, немецкий, норвежский, персидский (фарси), польский, португальский, словацкий, словенский, тайский, турецкий, узбекский, украинский, финский, французский, чешский, эсперанто, эстонский, японский.

Как используется Dr.Web CureIt!?

Загрузите Dr.Web CureIt!, запустите на исполнение и в открывшемся окне нажмите кнопку «Пуск». На запрос подтвердите запуск проверки и дождитесь результатов сканирования памяти компьютера и файлов автозапуска. Если необходимо просканировать все или некоторые диски компьютера, выберите режим полной или выборочной проверки (в последнем случае выделите требуемые объекты для проверки) и нажмите кнопку «Начать проверку» у правого края окна сканера.

При сканировании зараженные файлы будут излечены, а неизлечимые — перемещены в карантин. По окончании проверки остаются доступны файл отчета и сам карантин.

При запуске утилиты в командной строке можно указывать параметры для сканера, т.е. задавать конкретные объекты для проверки и режимы, уточняющие или изменяющие используемые по умолчанию.

Эти параметры должны писаться так:

<имя_CureIt-файла> -sp<параметры_сканера>

Причем при наличии пробела внутри строки параметров этот набор параметров надо заключить в кавычки, а при этом внутренние кавычки надо удваивать.

Примеры:

636frs47.exe -sp/tm-45hlke49.exe -sp"/tm- /ts- d:\test\"10sfr56g.exe -sp"/OK- ""d:\Program Files\"""

Можно ли обновлять Dr.Web CureIt!?

Лечащая утилита Dr.Web CureIt! вылечит инфицированную систему однократно, но она не является постоянным средством для защиты компьютера от вирусов. Утилита на нашем сайте всегда имеет в своем составе самые последние вирусные базы Dr.Web, но в нее не входит модуль автоматического обновления вирусных баз. Поставляемый в комплекте утилиты Dr.Web CureIt! набор вирусных баз актуален только до выхода нового дополнения (как правило, дополнения к вирусным базам Dr.Web выпускаются один или несколько раз в час).

Для того, чтобы просканировать компьютер утилитой Dr.Web CureIt! в следующий раз с самыми последними обновлениями вирусных баз, необходимо снова скачать Dr.Web CureIt!.

«Доктор Веб» - российский разработчик средств информационной безопасности.Компания предлагает эффективные антивирусные и антиспам-решения как для крупных компаний и государственных организаций, так и для частных пользователей. Антивирусные продукты Dr.Web разрабатываются с 1992 года и неизменно демонстрируют превосходные результаты детектирования вредоносных программ и соответствуют мировым стандартам безопасности. Сертификаты и награды, а также обширная география пользователей Dr.Web свидетельствуют о степени исключительного доверия к продуктам компании. Специалисты «Доктор Веб» благодарны пользователям за поддержку решений семейства Dr.Web!

windows7.my1.ru

Решена - Как вылечить Windows 7 от kido

ComboFix 10-02-09.03 - ivcprog1 10.02.2010 9:04.1.2 - x86 Microsoft Windows 7 Профессиональная 6.1.7600.0.1251.7.1049.18.2047.1192 [GMT 2:00] Running from: c:\users\ivcprog1\Desktop\ComboFix.exe .

((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) .

c:\programdata\Microsoft\Network\Downloader\qmgr0.dat c:\programdata\Microsoft\Network\Downloader\qmgr1.dat c:\windows\system32\raddrv.dll c:\windows\system32\twain_32.dll

----- BITS: Possible infected sites -----

hxxp://192.168.1.206 . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) .

-------\Service_r_server

((((((((((((((((((((((((( Files Created from 2010-01-10 to 2010-02-10 ))))))))))))))))))))))))))))))) .

2010-02-10 07:01 . 2010-02-10 07:02 -------- d-----w- C:\32788R22FWJFW 2010-02-09 09:19 . 2010-02-09 09:19 -------- d-----w- c:\windows\Downloaded Installations 2010-02-08 06:43 . 2010-02-08 06:43 -------- d-----w- c:\program files\Adobe Media Player 2010-02-08 06:40 . 2010-02-08 06:40 -------- d-----w- c:\program files\Common Files\Adobe AIR 2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Nero 2010-02-04 14:41 . 2010-02-04 14:41 -------- d-----w- c:\program files\Common Files\Ahead 2010-02-04 09:29 . 2010-02-04 09:29 -------- d-----w- c:\program files\AskBarDis 2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\Foxit 2010-02-04 09:28 . 2010-02-04 09:28 -------- d-----w- c:\program files\Foxit Software 2010-02-04 06:15 . 2010-02-04 06:15 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help 2010-02-03 15:40 . 2009-08-07 02:24 44768 ----a-w- c:\windows\system32\wups2.dll 2010-02-03 15:40 . 2009-08-07 02:24 53472 ----a-w- c:\windows\system32\wuauclt.exe 2010-02-03 15:40 . 2009-08-07 02:23 1929952 ----a-w- c:\windows\system32\wuaueng.dll 2010-02-03 15:40 . 2009-08-07 01:45 2421760 ----a-w- c:\windows\system32\wucltux.dll 2010-02-03 15:40 . 2009-08-07 02:24 35552 ----a-w- c:\windows\system32\wups.dll 2010-02-03 15:40 . 2009-08-07 02:23 575704 ----a-w- c:\windows\system32\wuapi.dll 2010-02-03 15:40 . 2009-08-07 01:44 87552 ----a-w- c:\windows\system32\wudriver.dll 2010-02-03 15:40 . 2009-08-06 17:23 171608 ----a-w- c:\windows\system32\wuwebv.dll 2010-02-03 15:40 . 2009-08-06 16:44 33792 ----a-w- c:\windows\system32\wuapp.exe 2010-01-29 12:39 . 2010-01-29 12:39 -------- d-----w- c:\windows\Eurobattle.net 2010-01-28 12:09 . 2010-01-28 12:09 -------- d-----w- c:\programdata\FLEXnet 2010-01-28 10:36 . 2010-02-02 07:01 -------- d-----w- c:\program files\Spyder-Pc 2010-01-28 10:10 . 2010-02-08 06:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Adobe 2010-01-28 10:04 . 2010-01-28 10:04 -------- d-----w- c:\program files\Common Files\Colasoft Shared 2010-01-28 10:04 . 2003-03-19 10:14 499712 ----a-w- c:\windows\system32\msvcp71.dll 2010-01-28 10:04 . 2003-03-19 08:12 1047552 ----a-w- c:\windows\system32\mfc71u.dll 2010-01-28 10:04 . 2003-02-21 18:42 348160 ----a-w- c:\windows\system32\msvcr71.dll 2010-01-28 10:01 . 2010-01-28 10:01 -------- d-----w- c:\program files\Bonjour 2010-01-28 09:57 . 2010-01-28 09:57 -------- d-----w- c:\program files\Common Files\Macrovision Shared 2010-01-28 09:56 . 2010-02-08 06:43 -------- d-----w- c:\program files\Common Files\Adobe 2010-01-27 13:10 . 2010-01-27 13:10 -------- d-----w- c:\users\ivcprog1\AppData\Local\1C 2010-01-27 11:42 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\ElevatedDiagnostics 2010-01-27 09:00 . 2010-02-10 06:50 -------- d-----w- c:\programdata\Electronic Arts 2010-01-27 08:56 . 2010-01-27 08:56 -------- d-----w- c:\program files\Electronic Arts 2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\program files\AGEIA Technologies 2010-01-27 08:49 . 2010-01-27 08:49 -------- d-----w- c:\windows\system32\AGEIA 2010-01-27 07:58 . 2010-01-27 07:58 -------- d-----w- c:\program files\Alcohol Soft 2010-01-27 07:20 . 2009-10-31 05:45 2614272 ----a-w- c:\windows\explorer.exe 2010-01-27 07:20 . 2009-10-28 06:17 285696 ----a-w- c:\windows\system32\winlogon.exe 2010-01-27 07:09 . 2010-01-27 07:09 -------- d-----w- c:\programdata\NVIDIA 2010-01-27 07:09 . 2009-09-27 21:12 490088 ----a-w- c:\windows\system32\nvuninst.exe 2010-01-27 06:56 . 2010-01-27 07:56 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2010-01-26 14:33 . 2010-02-10 06:00 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\uTorrent 2010-01-26 14:11 . 2010-01-26 14:11 -------- d-----w- c:\users\ivcprog1\AppData\Local\Monotype Imaging Inc 2010-01-26 13:44 . 2006-10-26 17:56 33104 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\msonpppr.dll 2010-01-26 13:44 . 2006-10-26 17:56 32592 ----a-w- c:\windows\system32\msonpmon.dll 2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft Works 2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\windows\PCHEALTH 2010-01-26 13:43 . 2010-01-26 13:43 -------- d-----w- c:\program files\Microsoft.NET 2010-01-26 13:41 . 2010-01-26 13:41 -------- d-----w- c:\program files\Microsoft Visual Studio 8 2010-01-26 13:41 . 2010-01-26 14:30 -------- d-----w- c:\users\ivcprog1\AppData\Local\Microsoft Help 2010-01-26 13:41 . 2010-02-04 06:19 -------- d-----w- c:\programdata\Microsoft Help 2010-01-26 13:40 . 2010-01-26 13:40 -------- d-----r- C:\MSOCache 2010-01-26 13:37 . 2004-06-16 13:59 708608 ----a-w- c:\windows\system32\r_server.exe 2010-01-26 13:37 . 2010-01-26 13:38 -------- d-----w- c:\program files\Radmin 2010-01-26 11:03 . 2010-01-26 11:03 51728 ----a-w- c:\programdata\Kaspersky Lab\AVP60MP4\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav6\6.0.4.1212\fssync.dll 2010-01-26 10:27 . 2010-01-26 11:03 95259 ----a-w- c:\windows\system32\drivers\klick.dat 2010-01-26 10:27 . 2010-01-26 11:03 108059 ----a-w- c:\windows\system32\drivers\klin.dat 2010-01-26 10:27 . 2010-02-10 07:10 -------- d-----w- c:\programdata\Kaspersky Lab 2010-01-26 10:27 . 2010-01-26 10:27 -------- d-----w- c:\program files\Kaspersky Lab 2010-01-26 09:41 . 2010-01-26 09:56 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\GHISLER 2010-01-26 08:45 . 2010-01-27 11:42 -------- d-----w- c:\users\ivcprog1\AppData\Local\Diagnostics 2010-01-26 07:51 . 2010-01-26 07:51 -------- d-----w- c:\users\ivcprog1\AppData\Local\GHISLER 2010-01-26 06:13 . 2009-09-10 05:52 257024 ----a-w- c:\windows\system32\msv1_0.dll 2010-01-26 06:12 . 2009-10-29 07:22 2048 ----a-w- c:\windows\system32\tzres.dll 2010-01-26 06:11 . 2009-10-02 04:06 728648 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys 2010-01-26 06:11 . 2009-09-03 07:04 1320960 ----a-w- c:\windows\system32\CertEnroll.dll 2010-01-26 06:11 . 2009-08-29 06:54 12625408 ----a-w- c:\windows\system32\wmploc.DLL 2010-01-26 06:11 . 2009-08-19 07:20 442920 ----a-w- c:\windows\system32\winresume.exe 2010-01-26 06:11 . 2009-08-19 07:20 507568 ----a-w- c:\windows\system32\winload.exe 2010-01-26 06:10 . 2009-12-19 09:02 977920 ----a-w- c:\windows\system32\wininet.dll 2010-01-26 06:10 . 2009-08-29 06:57 34816 ----a-w- c:\windows\system32\msasn1.dll 2010-01-26 06:10 . 2009-10-19 14:10 108544 ----a-w- c:\windows\system32\t2embed.dll 2010-01-26 06:10 . 2009-10-19 14:10 70656 ----a-w- c:\windows\system32\fontsub.dll 2010-01-26 06:10 . 2009-07-30 04:44 293888 ----a-w- c:\windows\system32\atmfd.dll 2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\program files\ICQ6Toolbar 2010-01-26 06:02 . 2010-01-26 06:02 -------- d-----w- c:\programdata\ICQ 2010-01-26 06:02 . 2010-01-26 06:02 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-01-26 06:01 . 2010-02-10 07:02 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\ICQ 2010-01-26 06:01 . 2010-01-26 06:16 -------- d-----w- c:\program files\ICQ6.5 2010-01-26 06:00 . 2010-01-26 06:00 -------- d-----w- c:\windows\system32\Macromed 2010-01-25 14:43 . 2010-01-28 12:13 108824 ----a-w- c:\users\ivcprog1\AppData\Local\GDIPFONTCACHEV1.DAT 2010-01-25 14:11 . 2010-01-25 14:27 -------- d-----w- c:\users\ivcprog1\AppData\Local\Google 2010-01-25 13:27 . 2010-01-14 09:12 181120 ------w- c:\windows\system32\MpSigStub.exe 2010-01-25 12:57 . 2010-01-25 12:57 -------- d-----w- c:\users\ivcprog1\AppData\Roaming\1C 2010-01-25 12:56 . 2006-11-22 08:01 693760 ----a-w- c:\windows\system32\drivers\hardlock.sys 2010-01-25 12:56 . 2010-01-25 12:56 6656 ----a-w- c:\windows\system32\haspvdd.dll 2010-01-25 12:56 . 2010-01-25 12:56 47616 ----a-w- c:\windows\system32\drivers\Haspnt.sys 2010-01-25 12:56 . 2010-01-25 12:56 383 ----a-w- c:\windows\system32\haspdos.sys 2010-01-25 12:56 . 2010-01-26 09:41 -------- d-----w- c:\program files\Total Commander 2010-01-25 12:55 . 2010-01-25 12:55 -------- d-----w- c:\program files\1cv81 2010-01-25 12:55 . 2010-02-10 06:56 -------- d-sh--w- c:\windows\Installer 2010-01-25 11:34 . 2010-02-10 07:08 -------- d-----w- c:\windows\system32\wbem\Performance 2010-01-25 11:23 . 2010-01-25 12:52 -------- d-----w- c:\windows\Panther 2010-01-25 11:23 . 2010-02-10 07:08 -------- d-----w- C:\Boot

. (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-10 07:08 . 2009-07-14 08:41 674680 ----a-w- c:\windows\system32\perfh019.dat 2010-02-10 07:08 . 2009-07-14 08:41 128850 ----a-w- c:\windows\system32\perfc019.dat 2010-01-26 13:43 . 2009-07-14 04:52 -------- d-----w- c:\program files\MSBuild 2010-01-25 12:55 . 2010-01-25 12:55 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf 2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Шаблоны 2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Рабочий стол 2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Главное меню 2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Избранное 2010-01-25 12:52 . 2010-01-25 12:52 -------- d-sh--we c:\programdata\Документы 2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp_isv.dll 2010-01-18 23:29 . 2010-02-10 06:37 85504 ----a-w- c:\windows\system32\secproc_ssp.dll 2010-01-18 23:29 . 2010-02-10 06:37 365568 ----a-w- c:\windows\system32\secproc_isv.dll 2010-01-18 23:29 . 2010-02-10 06:37 369152 ----a-w- c:\windows\system32\secproc.dll 2010-01-18 23:28 . 2010-02-10 06:37 324608 ----a-w- c:\windows\system32\RMActivate_isv.exe 2010-01-18 23:28 . 2010-02-10 06:37 277504 ----a-w- c:\windows\system32\RMActivate_ssp_isv.exe 2010-01-18 23:28 . 2010-02-10 06:37 320512 ----a-w- c:\windows\system32\RMActivate.exe 2010-01-18 23:28 . 2010-02-10 06:37 280064 ----a-w- c:\windows\system32\RMActivate_ssp.exe 2010-01-08 03:18 . 2010-02-10 06:37 221184 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys 2010-01-08 03:17 . 2010-02-10 06:37 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-12-19 09:02 . 2010-02-10 06:37 12288 ----a-w- c:\windows\system32\tsbyuv.dll 2009-12-19 09:02 . 2010-02-10 06:37 1328640 ----a-w- c:\windows\system32\quartz.dll 2009-12-19 09:02 . 2010-02-10 06:37 22016 ----a-w- c:\windows\system32\msyuv.dll 2009-12-19 09:02 . 2010-02-10 06:37 31744 ----a-w- c:\windows\system32\msvidc32.dll 2009-12-19 09:02 . 2010-02-10 06:37 13312 ----a-w- c:\windows\system32\msrle32.dll 2009-12-19 09:02 . 2010-02-10 06:37 84480 ----a-w- c:\windows\system32\mciavi32.dll 2009-12-19 09:02 . 2010-02-10 06:37 50176 ----a-w- c:\windows\system32\iyuv_32.dll 2009-12-19 09:02 . 2010-02-10 06:37 91648 ----a-w- c:\windows\system32\avifil32.dll 2009-12-08 11:40 . 2010-02-10 06:37 3955288 ----a-w- c:\windows\system32\ntkrnlpa.exe 2009-12-08 11:40 . 2010-02-10 06:37 3899464 ----a-w- c:\windows\system32\ntoskrnl.exe 2009-12-08 11:32 . 2010-02-10 06:37 292864 ----a-w- c:\windows\system32\apphelp.dll 2009-12-08 08:05 . 2010-02-10 06:37 310784 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-08 08:05 . 2010-02-10 06:37 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys 2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat 2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe .

((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] 2008-11-18 10:58 333192 ----a-w- c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-11-18 333192]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}] [HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-25 133104] "ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2009-11-16 172792] "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504] "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" [2009-04-24 203928] "AlSrvN"="c:\program files\Alcohol Soft\Alcohol 120\Plugins\Helper\AlSrvN.exe" [2009-04-17 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" [2009-09-22 315736] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "eurobattlegui"="d:\games\Warcraft III - Frozen Throne\eb.exe" [2009-10-22 757760] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

c:\users\ivcprog1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Create virtual drive for Denwer.lnk - d:\webservers\denwer\Boot.exe [2010-2-8 6656]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001

R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\System32\drivers\klim6.sys [14.09.2009 14:46 21520] R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\System32\drivers\klfltdev.sys [03.09.2009 16:24 24848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b25e537-0b19-11df-94a0-002215984ea6}] \shell\AutoRun\command - G:\Autorun.exe . Contents of the 'Scheduled Tasks' folder

2010-02-09 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000Core.job - c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23]

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644582172-135806338-602525900-1000UA.job - c:\users\ivcprog1\AppData\Local\Google\Update\GoogleUpdate.exe [2010-01-25 14:23] . . ------- Supplementary Scan ------- . uStart Page = hxxp://start.icq.com/ uInternet Settings,ProxyServer = 192.168.1.8:8080 uInternet Settings,ProxyOverride = *.local;<local> IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 IE: Добавить в Анти-Баннер - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm TCP: {4685AC67-A916-4267-BCAD-0A2BC98A621D} = 192.168.1.3 . - - - - ORPHANS REMOVED - - - -

HKCU-Run-EA Core - c:\program files\Electronic Arts\EADM\Core.exe

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x84A741F8]<< kernel: MBR read successfully detected MBR rootkit hooks: IoDeviceObjectType -> DumpProcedure -> 0xd46a624f SecurityProcedure -> 0x84abe4e0 QueryNameProcedure -> 0x84abe670 user & kernel MBR OK

************************************************************************** . --------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . --------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(544) c:\program files\Bonjour\mdnsNSP.dll

- - - - - - - > 'Explorer.exe'(356) c:\program files\Microsoft Office\Office12\1049\GrooveIntlResource.dll c:\windows\system32\nvshext.dll c:\windows\system32\nvapi.dll . ------------------------ Other Running Processes ------------------------ . c:\windows\system32\nvvsvc.exe c:\windows\system32\nvvsvc.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\system32\taskhost.exe c:\windows\system32\conhost.exe c:\users\ivcprog1\AppData\Local\Google\Update\1.2.183.13\GoogleCrashHandler.exe c:\windows\system32\sppsvc.exe . ************************************************************************** . Completion time: 2010-02-10 09:12:25 - machine was rebooted ComboFix-quarantined-files.txt 2010-02-10 07:12

Pre-Run: 183*768*018*944 байт свободно Post-Run: 183*805*288*448 байт свободно

- - End Of File - - 3D5F39C8F287E8A6419F4C259E493844

safezone.cc