Проблем с zjfmr.exe вирус

[multimedias]

zjfmr.exe проникна през скайпа. блокира антивирусните и всички останали програми при стартирането им просто ги затваря мигновено.изключа ли процеса той пак се възстановява. Има ли начин да се премахне ?

[B-boy/StyLe/]

zjfmr.exe проникна през скайпа. блокира антивирусните и всички останали програми при стартирането им просто ги затваря мигновено.изключа ли процеса той пак се възстановява. Има ли начин да се премахне ?

 

За съжаление има - премахва се със скрипт за Combofix, но е малко рисков, защото Combofix (Kittyfix) e все още в бета версия.

Затова ще използваме алтернативен вариант:

 

СТЪПКА 1

 

Изтегли DDS от тук.

Запази го на десктопа.

Изключи защитата в реално време на антивирусната си програма (ако е инсталирана такава).Накрая, стартирай инструмента.

 

• Когато DDS приключи успешно анализа на системата ще отвори два лог файла.

1. 
   
2. DDS.txt
   
3. Attach.txt
   

• Запази ги на десктопа и след това ги прикачи към следващия си пост.

 

 

 

СТЪПКА 2

 

Изтегли GMER и го разархивирай на десктопа.

 

Преди да сканираш се увери, че всички останали работещи програми в момента са изключени и антивирусния софтуер няма да предприема никакви действия по време на сканирането на Gmer. Не използвай компютъра си, докато трае сканирането.

 

Кликни два пъти пъти върху gmer.exe , за да стартираш програмата.

Тя ще направи начално сканиране за секунди. След като то приключи НЕ натискайте бутона Scan, а избери бутона Copy и постави съдържанието на лог файла в следващия си пост.

 

PS: Очаквам да има файла - ndisvvan.sys - който е фалшив NDIS драйвер и след премахването му изчезва и нета, въпреки въвеждането на настройките.

Затова е добре да рaзполагате и с това тулче за всеки случай - WinSockXPFix

[multimedias]

Вирусът е проникнал при едно приятелче аз просто реших да потърся решение на проблема му . Опитах се да го отстраня през програмата TeamViewer , но неуспешно .В момента пц-то му е на сервиз за преинсталация. Мислех си дали вируса не е нов и за това писах тук ако случайно и аз го прихвана да знам как да се размина с преинсталацията

[B-boy/StyLe/]

Не е чак толкова нов. Скоро чистих една машина от него.

 

Лекува се с Dr.Web, Combofix + CFScript, The Avenger, Malwarebytes' Anti-Malware + WinSockXP Fix.

[liver]

Добре де...как така прониква през скайп вирус или каквото е там? Дори и да има линк и да кликне на него потребителя, нали трябва да даде run на файла, който вероятно ще изскочи? Или дори да го препрати към сайт, мозила с adblock, wot, no script няма ли да се справят?

[multimedias]

от този линк разпратен в скайп "" http://78.60.245.2:41684/bg/Bulgaria?i=Startup_Scripts_CS3&l=us&t=r ""

 

Внимание: потенциално опасен линк!

Редактиран Декември 21, 2009 от Night_Raven
Липса на важно предупреждение

[liver]

от този линк разпратен в скайп "" http://78.60.245.2:41684/bg/Bulgaria?i=Startup_Scripts_CS3&l=us&t=r ""

Добре, но при отваряне на линка излиза бяла страница. Дотам е.

edit: между другото отворих го с Оpera

[multimedias]

Не зная , но вече доста хора ме предупредиха по скайп да не отварям линка . А при фр-то ми резултата е на лице : преинсталация

[nikikom]

Новият Скайп вирус

Внимание: потенциално опасен линк, цъкайте на своя собствена отговорност!!

http://vpn-pppoe-88-213-214-93.campus-bg.com:26936/Stara_Zagora/Bulgaria/19680706?i=vankos123&l=bg&t=b

[B-boy/StyLe/]

А всичкo щеше да е различно, ако не инсталирахте диспечера с добавките за Скайп (казвал го е и Night_Raven), бяхте спряли AutoRun/AutoPlay и избягвахте съмнителните файлове.

Разбира се има и програми за превенция като Script Defender (споменавана отново от Night_Raven), че дори и DefenseWall с функцията (Rollback).

[multimedias]

След преинсталацията вируса си остана.Ето логовете.Как да го премахна ?

Attach.txt

DDS.txt

[B-boy/StyLe/]

След преинсталацията вируса си остана.Ето логовете.Как да го премахна ?

 

Знаех, че ще остане, защото прави *.bat и *.inf файлове на другите дялове...

Но понеже не се знае дали инфекцията е само с Win32:Chydo ще ни трябва тежката артилерия.

 

За всеки случай направете бекъп на важните неща и преместете всичко ценно от дял C:\ на друг дял преди да продължите.

 

Сега вече:

 

*. Временно спрете защитата на антивирусната си програма в реално време!.

 

*. Изтеглете Combofix.

 

*. Запазете го на десктопа.

 

*. Стартирайте го с двукратен клик на мишката.

 

*. По време на сканиране от страна на ComboFix не стартирайте никакви други приложения, не натискайте клавиши от клавиатурата и не местете мишката !

 

*. Публикувайте лог файла, който ще се създаде след рестарта на компютъра в следващия си пост.

[multimedias]

ето лога от ComboFix

 

http://uploading.com/files/6758175e/log.txt/

 

 

 

ComboFix 09-12-22.03 - user 12/23/2009 12:07:49.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.3326.2759 [GMT 2:00]

Running from: c:\documents and settings\user\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\autorun.inf

C:\jxlbpwrbqydrm.bat

C:\ndtlbkhtkubrogx.bat

C:\nzlzlqjrekn.bat

D:\Autorun.inf

D:\drrclsinz.bat

D:\jxlbpwrbqydrm.bat

D:\ndtlbkhtkubrogx.bat

D:\nfjylwqzpzarb.bat

D:\nzlzlqjrekn.bat

D:\rhjwhqipdlk.bat

 

.

((((((((((((((((((((((((( Files Created from 2009-11-23 to 2009-12-23 )))))))))))))))))))))))))))))))

.

 

2009-12-22 20:21 . 2009-12-22 20:21 -------- d-----w- c:\documents and settings\user\Application Data\TeamViewer

2009-12-22 20:21 . 2009-12-22 20:21 -------- d-----w- c:\program files\TeamViewer

2009-12-22 20:19 . 2009-12-22 20:19 -------- d-----w- c:\documents and settings\user\temp

2009-12-22 18:46 . 2009-12-22 18:46 -------- d-----w- c:\documents and settings\All Users\Application Data\GRETECH

2009-12-22 18:45 . 2009-12-22 18:45 -------- d-----w- c:\documents and settings\user\Application Data\GRETECH

2009-12-22 14:34 . 2009-12-22 18:45 -------- d-----w- c:\program files\GRETECH

2009-12-22 14:34 . 2009-12-22 14:34 -------- d-----w- c:\documents and settings\user\Application Data\vlc

2009-12-22 14:34 . 2009-12-22 14:34 -------- d-----w- c:\program files\VideoLAN

2009-12-22 14:05 . 2009-12-22 14:01 674138 ----a-w- c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\i0tusl9e.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\unins000.exe

2009-12-22 14:05 . 2006-12-18 15:30 67112 ----a-w- c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\i0tusl9e.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\PNRComponent.dll

2009-12-22 14:01 . 2009-12-23 10:01 -------- d-----w- c:\documents and settings\user\Application Data\Skype

2009-12-22 14:01 . 2009-12-22 14:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2009-12-22 14:01 . 2009-12-22 14:01 -------- d-----w- c:\program files\Common Files\Skype

2009-12-22 14:01 . 2009-12-22 14:05 -------- d-----w- c:\program files\Skype

2009-12-22 11:03 . 2009-12-22 11:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Friends Games

2009-12-22 11:02 . 2009-12-22 11:03 -------- d-----w- c:\program files\Magic Match Adventures[h33t][oi812heet]

2009-12-22 11:02 . 2009-12-22 11:02 -------- d-----w- c:\windows\Magic Match Adventures[h33t][oi812heet]

2009-12-22 09:55 . 2009-12-22 09:55 -------- d-----w- c:\documents and settings\user\Application Data\URSoft

2009-12-22 09:55 . 2009-12-22 20:25 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2009-12-22 09:49 . 2009-12-22 09:49 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Help

2009-12-22 09:37 . 2009-12-22 09:37 -------- d-----w- c:\program files\Mircosoft

2009-12-22 09:31 . 2009-12-22 09:31 0 ----a-w- c:\windows\nsreg.dat

2009-12-22 09:30 . 2009-12-22 09:30 -------- d-----w- c:\documents and settings\user\Local Settings\Application Data\Mozilla

2009-12-22 09:22 . 2009-12-22 09:22 -------- d-----w- c:\program files\Escom

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\zrjdvgftmyhzyslbp.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\vrnlhwzroernqolfxxefw.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\tnhdxklbwkvpqmhzpns.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\sjatkusfxiqhfyqf.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\mjgfcswpnesptsqlefnpho.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\ibupiuujdqattoizol.exe

2009-12-23 10:08 . 2009-12-21 15:29 573440 --sh--r- c:\windows\gbwtocevrgsnpmibsrxx.exe

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\vrnlhwzroernqolfxxefw.exe

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\mjgfcswpnesptsqlefnpho.exe

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\gbwtocevrgsnpmibsrxx.exe

2009-12-23 10:07 . 2009-12-21 16:01 -------- d-----w- c:\documents and settings\user\Application Data\uTorrent

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\zrjdvgftmyhzyslbp.exe

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\tnhdxklbwkvpqmhzpns.exe

2009-12-23 10:07 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\sjatkusfxiqhfyqf.exe

2009-12-23 10:06 . 2009-12-22 13:02 2408 ---h--w- c:\program files\kzofucyjziodzqgtexxrbabdtwlargokvlua.lcs

2009-12-23 10:06 . 2009-12-21 15:29 280 ---h--w- c:\program files\mrwdigstzyuzlsybclbllarjpi.sze

2009-12-23 10:05 . 2009-12-22 13:02 316 ---h--w- c:\program files\zrjdvgftmyhzyslbplolyaejciasmepocvhqihb.kyu

2009-12-23 10:04 . 2009-12-21 16:03 -------- d-----w- c:\program files\ESET

2009-12-23 09:12 . 2009-12-21 15:29 573440 --sh--r- c:\windows\system32\ibupiuujdqattoizol.exe

2009-12-22 19:59 . 2009-12-22 13:02 1113 ---h--w- c:\program files\ibupiuujdqattoizolpnbejpjqjcxqccrlyibbwq.wtx

2009-12-22 16:20 . 2009-12-21 15:20 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-12-22 12:09 . 2009-12-21 16:04 -------- d-----w- c:\program files\The KMPlayer

2009-12-22 09:22 . 2009-12-21 15:29 19400 ----a-w- c:\documents and settings\user\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-12-21 16:07 . 2009-12-21 16:07 -------- d-----w- c:\program files\SA Dictionary 2004 Datacenter

2009-12-21 16:07 . 2009-12-21 16:07 -------- d-----w- c:\documents and settings\user\Application Data\ESET

2009-12-21 16:06 . 2009-12-21 16:05 -------- d-----w- c:\program files\Winamp

2009-12-21 16:06 . 2009-12-21 16:06 -------- d-----w- c:\program files\Microsoft ActiveSync

2009-12-21 16:05 . 2009-12-21 16:05 -------- d-----w- c:\program files\Common Files\Adobe

2009-12-21 16:04 . 2009-12-21 16:04 -------- d-----w- c:\program files\Nero v8 Portable Edition

2009-12-21 16:03 . 2009-12-21 16:03 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET

2009-12-21 16:01 . 2009-12-21 16:01 -------- d-----w- c:\program files\K-Lite Codec Pack

2009-12-21 16:01 . 2009-12-21 16:01 -------- d-----w- c:\program files\Datecs

2009-12-21 16:01 . 2009-12-21 16:01 -------- d-----w- c:\program files\uTorrent

2009-12-21 15:29 . 2009-12-21 15:29 4248 ---h--w- c:\program files\ndtlbkhtkubrogxlxrsnyyaduyoewmvsevfmc.riw

2009-12-21 15:24 . 2009-12-21 15:24 -------- d-----w- c:\program files\microsoft frontpage

2009-12-21 15:17 . 2009-12-21 15:17 21640 ----a-w- c:\windows\system32\emptyregdb.dat

2009-12-21 15:17 . 2009-12-21 15:17 -------- d-----w- c:\program files\Windows Media Connect 2

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nzlzlqjrekn"="vrnlhwzroernqolfxxefw.exe" [2009-12-23 573440]

"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-12-21 289584]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-12-18 25365032]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"kxkzmsmvjquh"="gbwtocevrgsnpmibsrxx.exe ." [X]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"iraluwmr"="ibupiuujdqattoizol.exe" [2009-12-23 573440]

"RTHDCPL"="RTHDCPL.EXE" [2009-06-12 17887232]

"nwiz"="nwiz.exe" [2009-04-30 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2003-12-13 33792]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"zjtfpsjpa"="sjatkusfxiqhfyqf.exe ." [X]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"nzlzlqjrekn"="tnhdxklbwkvpqmhzpns.exe" [2009-12-23 573440]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"kxkzmsmvjquh"="vrnlhwzroernqolfxxefw.exe ." [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"sdobmqipbg"="ibupiuujdqattoizol.exe" [2009-12-23 573440]

 

c:\documents and settings\All Users\Start Menu\Programs\Startup\

FlexType 2K.lnk - c:\program files\Datecs\FlexType 2K\FType2K.exe [2009-12-21 95232]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 0 (0x0)

"EnableInstallerDetection"= 0 (0x0)

"EnableSecureUIAPaths"= 0 (0x0)

"EnableVirtualization"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

 

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R0 amdide1;amdide1;c:\windows\system32\drivers\amdide1.sys [9/13/2009 2:25 PM 9096]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [12/21/2009 5:33 PM 1684736]

.

------- Supplementary Scan -------

.

uStart Page = hxxp://free.torrent.bg/

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {17573D80-A69C-46D8-8C10-D0EE0307F9C3} = 195.24.89.12 195.24.90.1

TCP: {5408B07B-8A6C-4650-9EAF-E0B66B80EC29} = 195.24.90.1,195.24.88.1

FF - ProfilePath - c:\documents and settings\user\Application Data\Mozilla\Firefox\Profiles\i0tusl9e.default\

.

- - - - ORPHANS REMOVED - - - -

 

HKCU-RunOnce-zjtfpsjpa - c:\docume~1\user\LOCALS~1\Temp\sjatkusfxiqhfyqf.exe

HKLM-RunOnce-jxlbpwrbqydrm - c:\docume~1\user\LOCALS~1\Temp\vrnlhwzroernqolfxxefw.exe

HKU-Default-RunOnce-zjtfpsjpa - c:\docume~1\user\LOCALS~1\Temp\tnhdxklbwkvpqmhzpns.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-23 12:09

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2009-12-23 12:10:00

ComboFix-quarantined-files.txt 2009-12-23 10:09

 

Pre-Run: 11,101,450,240 bytes free

Post-Run: 11,201,232,896 bytes free

 

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

- - End Of File - - 7A85D0BB1EDEEA4CBF5A30C8E9970E09

[draco_volans]

Пейстни съдържанието му в поста си.

[B-boy/StyLe/]

Отворете Notepad.exe и с copy/paste въведете:

 

http://forums.softvisia.com/index.php?showtopic=10341&pid=89022&st=0&

KILLALL::
Collect::
c:\windows\zrjdvgftmyhzyslbp.exe
c:\windows\vrnlhwzroernqolfxxefw.exe
c:\windows\tnhdxklbwkvpqmhzpns.exe
c:\windows\sjatkusfxiqhfyqf.exe
c:\windows\mjgfcswpnesptsqlefnpho.exe
c:\windows\ibupiuujdqattoizol.exe
c:\windows\gbwtocevrgsnpmibsrxx.exe
c:\windows\system32\vrnlhwzroernqolfxxefw.exe
c:\windows\system32\mjgfcswpnesptsqlefnpho.exe
c:\windows\system32\gbwtocevrgsnpmibsrxx.exe
c:\windows\system32\zrjdvgftmyhzyslbp.exe
c:\windows\system32\tnhdxklbwkvpqmhzpns.exe
c:\windows\system32\sjatkusfxiqhfyqf.exe
c:\program files\kzofucyjziodzqgtexxrbabdtwlargokvlua.lcs
c:\program files\mrwdigstzyuzlsybclbllarjpi.sze
c:\program files\zrjdvgftmyhzyslbplolyaejciasmepocvhqihb.kyu
c:\windows\system32\ibupiuujdqattoizol.exe
c:\program files\ibupiuujdqattoizolpnbejpjqjcxqccrlyibbwq.wtx
c:\program files\ndtlbkhtkubrogxlxrsnyyaduyoewmvsevfmc.riw
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nzlzlqjrekn"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"kxkzmsmvjquh"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iraluwmr"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"zjtfpsjpa"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"nzlzlqjrekn"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"kxkzmsmvjquh"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"sdobmqipbg"=-

 

Запазете файла с име CFScript и го пуснете в Combofix.

 

http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

 

Публикувайте новия лог файл в следващия си пост.