Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не работают скрипты в браузере. Есть подозрение на вирус!:(

1 2 Следующая >
Ответить
Настройки темы
Не работают скрипты в браузере. Есть подозрение на вирус!:(

Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

Вложения
Тип файла: rar hijackthis.rar
(3.8 Kb, 3 просмотров)
Скрипты не работают ни в ІЕ, ни в Mozilla 3.

Отправлено: 12:34, 18-09-2008

 

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

zhefran, придраться особе не к чему, у вас остался AVPTool от 13.05.2008, можете удалить.
Попробуйте сделать так:
Пуск -> Выполнить ->
Код: Выделить весь код
regsvr32 jscript.dll
regsvr32 vbscript.dll
regsvr32 /i mshtml.dll
regsvr32 /i shell32.dll
regsvr32 /n /i:U shell32.dll

а также
regsvr32 msxml.dll
regsvr32 msxml2.dll
regsvr32 msxml3.dll

regsvr32 comuid.dll
regsvr32 comsvcs.dll
regsvr32 ole32.dll
regsvr32 oleaut32.dll
Если проблема не решиться:
1. Запустите Internet Explorer 7.
2. В меню Сервис выберите команду Свойства обозревателя.
3. На вкладке Дополнительно нажмите кнопку Сброс,
4. В диалоговом окне Сброс параметров настройки Internet Explorer нажмите кнопку Сброс.
Можно проверить некторые файлы.
Выполните в AVZ скрипт
Код: Выделить весь код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\User\Рабочий стол\shell-hook\Shell_Hook\SHELLHook.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\egxfilter.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\UimFIO.SYS','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
Не забудьте установить (рекомендуется) Recovery Console по инструкции - how-to-use-combofix
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте и прикрепите ComboFix.txt к сообщению.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Последний раз редактировалось Pili, 18-09-2008 в 15:06.

Отправлено: 14:28, 18-09-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

У меня IE6

zhefran, придраться особе не к чему, у вас остался AVPTool от 13.05.2008, можете удалить. - не удаляется
Не возможно открыть файл деинсталляция не возможна.

Ошибка скрипта: Undeclared identifier: 'BC_ImportQuartineList', позиция [7:22]

Отправлено: 14:56, 18-09-2008 | #3


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

zhefran, опечатался, поправил скрипт, попробуйте ещё раз
Цитата zhefran:
У меня IE6 »
для regsrv32 это не имеет значения, но можете ещё воспользоваться Dial-a-fix (поставьте галки в области Registration center и нажмите GO) или можете установить IE7.
Файлы в карантине чистые по virustotal, SHELLHook.dll ушел на доп. анализ в вирлаб

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Последний раз редактировалось Pili, 18-09-2008 в 16:49.

Отправлено: 15:07, 18-09-2008 | #4


Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

Вложения
Тип файла: txt ComboFix.txt
(33.0 Kb, 1 просмотров)

Не хочу я ставить IE7!


Вот лог с mbam
Цитата:
Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1166
Windows 5.1.2600 Service Pack 3

18.09.2008 17:15:20
mbam-log-2008-09-18 (17-15-20).txt

Тип проверки: Полная (C:\|D:\|G:\|)
Проверено объектов: 398446
Прошло времени: 2 hour(s), 43 minute(s), 2 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 1
Заражено файлов: 9

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\ssv.ssvhelper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{96a48b57-d55d-4b03-895d-7ee0281d1929} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5522e65b-6538-431a-bdaf-0b096a3fdd1c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{907c8fb0-1205-4189-99c9-9e8da884b0b0} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\IEAntiVirus (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\Program Files\IEAntiVirus (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Заражено файлов:
D:\avz4\avz4\Quarantine\2008-05-13\avz00003.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\avz00006.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\bcqr00005.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\avz4\avz4\Quarantine\2008-05-13\bcqr00006.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\antivirus.exe (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db2 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db3 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\ieav.db6 (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.
C:\Program Files\IEAntiVirus\uninst.exe (Rogue.IEAntiVirus) -> Quarantined and deleted successfully.

Последний раз редактировалось zhefran, 18-09-2008 в 18:35.

Отправлено: 18:18, 18-09-2008 | #5


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Цитата zhefran:
Не хочу я ставить IE7! »
На ваше усмотрение
Цитата:
D:\avz4\avz4\Quarantine\2008-05-13\avz00003.dta (Trojan.FakeAlert) -> Quarantined and deleted successfully.
это ssvanasek.dll - мы его удалили тут
А новый карантин вы тогда мне так и не прислали и логи DSS не были сделаны. По логам этой темы IEAntiVirus не было видно. Сделайте ещё логи combofix и DSS

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Отправлено: 18:40, 18-09-2008 | #6


Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

Цитата:
А новый карантин вы тогда мне так и не прислали и логи DSS не были сделаны. По логам этой темы IEAntiVirus не было видно. Сделайте ещё логи combofix и DSS
Каюсь

Combofix уже сделал - прикрепил к предыдущему посту.

Пара вопросов:
1. Я смогу удалить AVP Tool;
2. Combofix ничего лишнего не удалил?

Делаю DSS. Вернее не делаю

По поводу DSS нарыл такое
Цитата:
Deckard's System Scanner interacts with a specific rootkit (tdssserv) in a way that may make your system unusable (altering the svchost netsvcs registry entry). This download link has been removed until a fix is released by Deckard. For your own protection, please do not attempt to download this tool from other sites. 08/17/2008 Your Geeks to Go admin team

Последний раз редактировалось zhefran, 18-09-2008 в 20:18.

Отправлено: 18:56, 18-09-2008 | #7


Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать

Цитата zhefran:
. Я смогу удалить AVP Tool; »
Да. Запустите AVPTool, найдите кн. "полная антивирусная защита", нажмите. Можете скачать свежую версию AVPTool и провериться.
Цитата zhefran:
2. Combofix ничего лишнего не удалил? »
В основном удален flashget, он небезопасен
почитайте статью о flashget, ещё тут, tmasrv.exe д.б. not-a-virus:AdWare.Win32.TMAgent.f

Проверьте файлы на virustotal.com
Цитата:
C:\Program Files\Mozilla Firefox\plugins\NPE2Host.dll
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код: Выделить весь код
File::
H:\AutoRun.exe
E:\Run.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9c61ac2c-af2a-11dc-9c12-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df95754a-af29-11dc-9a1c-806d6172696f}]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix скопируйте и выложите текст из C:\ComboFix.txt в сообщение.
По поводу DSS - спасибо, убрал из правил. Если проблема ещё не исчезла и рекомендании по regsrv32 и Dial-a-fix не помогли:
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту, после проверки скопируйте текст из из C:\Report.txt в сообщение.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение.

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Последний раз редактировалось Pili, 18-09-2008 в 23:01.

Это сообщение посчитали полезным следующие участники:

Отправлено: 22:02, 18-09-2008 | #8


Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

Вложения
Тип файла: txt Текстовый документ (3).txt
(3.4 Kb, 1 просмотров)
Тип файла: txt ComboFix.txt
(11.1 Kb, 1 просмотров)
Тип файла: rar rsit.rar
(14.0 Kb, 1 просмотров)

Я методом научного втыка определил, что скрипты рубает Ad Muncher!
Логи будут по позже!
Цитата Pili:
По поводу DSS - спасибо, убрал из правил. »
Чем могу!

Файл NPE2Host.dll получен 2008.09.19 09:14:14 (CET)

Антивирус Версия Обновление Результат
AhnLab-V3 2008.9.19.0 2008.09.19 -
AntiVir 7.8.1.34 2008.09.18 -
Authentium 5.1.0.4 2008.09.19 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 -
BitDefender 7.2 2008.09.19 -
CAT-QuickHeal 9.50 2008.09.19 -
ClamAV 0.93.1 2008.09.19 -
DrWeb 4.44.0.09170 2008.09.19 -
eSafe 7.0.17.0 2008.09.18 -
eTrust-Vet 31.6.6091 2008.09.16 -
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.19 -
F-Secure 8.0.14332.0 2008.09.19 -
Fortinet 3.113.0.0 2008.09.19 -
GData 19 2008.09.19 -
Ikarus T3.1.1.34.0 2008.09.19 -
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.19 -
McAfee 5387 2008.09.18 -
Microsoft 1.3903 2008.09.19 -
NOD32v2 3453 2008.09.18 -
Norman 5.80.02 2008.09.18 -
Panda 9.0.0.4 2008.09.19 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.19 -
Rising 20.62.40.00 2008.09.19 -
Sophos 4.33.0 2008.09.19 -
Sunbelt 3.1.1647.1 2008.09.18 -
Symantec 10 2008.09.19 -
TheHacker 6.3.0.9.087 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.19 -
VBA32 3.12.8.5 2008.09.18 -
ViRobot 2008.9.19.1382 2008.09.19 -
VirusBuster 4.5.11.0 2008.09.18 -
Webwasher-Gateway 6.6.2 2008.09.19 -
Дополнительная информация
File size: 102400 bytes
MD5...: 84a2df4f6448b04c4d654018a7055eec
SHA1..: ddbf7194683816c93cd1541bdedf9384afb1b3b8
SHA256: de00a692355cf50233506ab6caa8b43b80162f44f72b380a45219442df358d98
SHA512: 64dfcc2f751f2e7486ca53ed980a82139347b01c9760e4e3926ffc5cbca54cfd
b50ff522e07aeaf3cae1f22cad0656fb96d9beb2f5baa252d3a3b4cded7cbe5f
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7185a0d2
timedatestamp.....: 0x4835d9d5 (Thu May 22 20:38:45 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xffb3 0x10000 6.56 b5c5bb80f4a9e8f36eb8487e506d5563
.rdata 0x11000 0x352f 0x4000 4.62 1ea3f8774039ec0ca3a1f050f7414aad
.data 0x15000 0x177c 0x1000 3.61 18a9b6fc85455328e389927cfd2b81af
.rsrc 0x17000 0x4d0 0x1000 1.28 191d71283ee5f07dc9fc6a624a84a5f6
.reloc 0x18000 0x1a42 0x2000 4.19 62a005c3db455eae36a8867a4de85f08

( 5 imports )
> KERNEL32.dll: LockResource, LoadResource, FindResourceW, FindResourceExW, HeapFree, GetProcessHeap, MultiByteToWideChar, GlobalUnlock, GlobalLock, GlobalAlloc, lstrcpyW, GetLastError, MulDiv, FlushInstructionCache, GetCurrentProcess, HeapAlloc, lstrlenW, lstrcmpW, GetModuleFileNameW, GetCurrentThreadId, InterlockedIncrement, InterlockedDecrement, VirtualFree, HeapCreate, GetCommandLineA, SizeofResource, GetStringTypeA, GetCPInfo, GetOEMCP, IsBadCodePtr, IsBadReadPtr, LoadLibraryA, WriteFile, UnhandledExceptionFilter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TerminateProcess, LCMapStringW, WideCharToMultiByte, LCMapStringA, GetSystemInfo, VirtualProtect, GetModuleHandleA, GetProcAddress, TlsGetValue, TlsSetValue, DeleteCriticalSection, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, GetVersionExW, GetThreadLocale, GetLocaleInfoA, GetACP, GetStringTypeW, InterlockedExchange, TlsFree, SetLastError, RtlUnwind, TlsAlloc, VirtualQuery, SetUnhandledExceptionFilter, GetModuleFileNameA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, IsBadWritePtr, VirtualAlloc, ExitProcess, LocalFree, HeapSize, HeapReAlloc, HeapDestroy, GetVersionExA
> USER32.dll: DestroyAcceleratorTable, GetWindowLongW, DestroyWindow, SendMessageW, UnregisterClassW, DefWindowProcW, SetWindowTextW, GetWindowTextW, GetWindowTextLengthW, RegisterClassExW, LoadCursorW, GetClassInfoExW, wsprintfW, CreateWindowExW, CreateAcceleratorTableW, CharNextW, GetParent, GetClassNameW, SetWindowPos, RedrawWindow, IsWindow, GetDlgItem, SetFocus, GetFocus, IsChild, GetWindow, SetWindowLongW, BeginPaint, EndPaint, CallWindowProcW, GetDesktopWindow, InvalidateRgn, InvalidateRect, ReleaseDC, GetDC, GetClientRect, FillRect, SetCapture, ReleaseCapture, GetSysColor, RegisterWindowMessageW
> GDI32.dll: GetStockObject, GetObjectW, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, DeleteDC, SelectObject, DeleteObject, CreateSolidBrush
> ole32.dll: OleRun, CoCreateInstance, CreateStreamOnHGlobal, OleUninitialize, StringFromGUID2, CoTaskMemAlloc, OleLockRunning, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, CoUninitialize, CoInitializeEx, OleInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

( 3 exports )
NP_GetEntryPoints, NP_Initialize, NP_Shutdown



По второму файлу - он используется по роботе!

Последний раз редактировалось zhefran, 19-09-2008 в 11:41.

Отправлено: 11:16, 19-09-2008 | #9


Аватара для zhefran

Пользователь


Сообщения: 134
Благодарности: 2

Профиль | Сайт | Отправить PM | Цитировать

Код: Выделить весь код
SDFix: Version 1.221 
Run by Ђ¤¬Ё*Ёбва*в®а on 19.09.2008 at 11:04

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

C:\WINDOWS\system32\admdll.dll  - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-19 11:09:57
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?X?)?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares]
"\24\4>\4:\4C\4<\0045\4=\4B\4K\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=C:\Documents and Settings\All Users\>:C<5=BK\0Permissions=0\0Remark=\0Type=0\0"
"\37\4@\4>\0043\4@\0040\4<\48\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\@>3@0<8\0Permissions=0\0Remark=\0Type=0\0"
"\20\4@\4E\48\0042\4K\4 ?O?l?d? ?P?C?"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\@E82K Old PC\0Permissions=0\0Remark=\0Type=0\0"
"\24\4>\0043\4>\0042\4V\4@\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\>3>2V@\0Permissions=0\0Remark=\0Type=0\0"
"\27\0040\0042\0040\4=\4B\0040\0046\0045\4=\4=\4O\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\0Permissions=0\0Remark=\0Type=0\0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,9b,54,60,8b,cb,6e,d1,f6,88,d7,34,c8,64,23,7b,cb,50,7a,47,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..
"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:03,08,13,6a,a3,73,ec,00,9d,3f,00,45,bb,b9,b1,da,d4,e8,a7,a0,0a,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]
"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"
"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021
"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:8e,7e,60,3c,4e,e9,45,62,be,52,c6,6f,ed,02,2f,35,3f,ff,21,92,d2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..
"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e2,f0,2f,9d,6d,10,50,0e,90,07,74,0f,6f,3b,88,c8,62,4f,a2,14,e5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:a4,1a,08,69,65,8c,f3,46,08,cb,bf,34,92,bc,a3,50,91,6c,08,ae,c4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..
"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:74,e4,5c,41,62,ae,9c,0e,0e,f8,81,d3,7c,ac,dd,02,10,4d,d2,27,9d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]
"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"
"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021
"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?L?2?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?T?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?P?P?P?o?E?)?"=str(7):"1\0"
"\37\4@\4O\4<\4>\49\4 ??\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 ??\4>\4@\4B\4"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?)?"=str(7):"1\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ??\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 ??\0040\4:\0045\4B\4>\0042\4"=str(7):"1\0002\0003\0"
"\34\48\4=\48\4?\4>\4@\4B\4 ?W?A?N? ?(?I?P?X?)?"=str(7):"1\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\lanmanserver\Shares]
"\24\4>\4:\4C\4<\0045\4=\4B\4K\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=C:\Documents and Settings\All Users\>:C<5=BK\0Permissions=0\0Remark=\0Type=0\0"
"\37\4@\4>\0043\4@\0040\4<\48\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\@>3@0<8\0Permissions=0\0Remark=\0Type=0\0"
"\20\4@\4E\48\0042\4K\4 ?O?l?d? ?P?C?"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\@E82K Old PC\0Permissions=0\0Remark=\0Type=0\0"
"\24\4>\0043\4>\0042\4V\4@\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=G:\>3>2V@\0Permissions=0\0Remark=\0Type=0\0"
"\27\0040\0042\0040\4=\4B\0040\0046\0045\4=\4=\4O\4"=str(7):"CSCFlags=0\0MaxUses=4294967295\0Path=D:\020=B065==O\0Permissions=0\0Remark=\0Type=0\0"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000001
"ujdew"=hex:4c,73,3e,ea,66,74,01,7a,59,ba,f9,80,d6,97,7a,61,28,c5,a4,1f,4f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:e1,9b,54,60,8b,cb,6e,d1,f6,88,d7,34,c8,64,23,7b,cb,50,7a,47,df,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,52,ec,b4,3c,6b,00,46,4a,e6,aa,4f,52,92,05,9d,76,e4,..
"khjeh"=hex:9a,f6,bf,e5,91,e8,5a,64,b6,bb,59,d1,61,e7,02,8a,f6,b4,60,14,38,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:03,08,13,6a,a3,73,ec,00,9d,3f,00,45,bb,b9,b1,da,d4,e8,a7,a0,0a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SysmonLog\Log Queries\{8328787a-4717-4d59-8113-71ee7db0bb25}]
"\32\4>\4A\0042\0045\4=\4=\4K\49\4 ?:\4>\4<\4<\0045\4=\4B\0040\4@\48\49\4"="@C:\WINDOWS\system32\smlogcfg.dll,-735"
"\20\4B\4@\48\0041\4C\4B\4K\4 ?E\4@\0040\4=\0045\4=\48\4O\4 ?4\0040\4=\4=\4K\4E\4"=dword:00000021
"\32\4>\4A\0042\0045\4=\4=\4>\0045\4 ?8\4<\4O\4 ?D\0040\49\4;\0040\4 ?6\4C\4@\4=\0040\4;\0040\4 ?1\0040\0047\4K\4 ?4\0040\4=\4=\4K\4E\4"="@C:\WINDOWS\system32\smlogcfg.dll,-744"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?W?i?n?d?o?w?s?"="",,,,,,,,,,,,,""
"\37\4>\0044\0042\48\0046\4=\0040\4O\4 ?W?i?n?d?o?w?s?"=""C:\WINDOWS\Cursors\rainbow.ani,,C:\WINDOWS\Cursors\appstart.ani,C:\WINDOWS\Cursors\hourglas.ani,C:\WINDOWS\Cursors\cross.cur,,,,C:\WINDOWS\Cursors\sizens.ani,C:\WINDOWS\Cursors\sizewe.ani,C:\WINDOWS\Cursors\sizenwse.ani,C:\WINDOWS\Cursors\sizenesw.ani,,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\0045\4;\0040\4O\4"=""C:\WINDOWS\Cursors\3dwarro.cur,,C:\WINDOWS\Cursors\appstar3.ani,C:\WINDOWS\Cursors\hourgla3.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\3dwno.cur,C:\WINDOWS\Cursors\3dwns.cur,C:\WINDOWS\Cursors\3dwwe.cur,C:\WINDOWS\Cursors\3dwnwse.cur,C:\WINDOWS\Cursors\3dwnesw.cur,C:\WINDOWS\Cursors\3dwmove.cur,""
" \4C\4:\48\4 ?1?"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\handapst.ani,C:\WINDOWS\Cursors\hand.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\hnodrop.cur,C:\WINDOWS\Cursors\hns.cur,C:\WINDOWS\Cursors\hwe.cur,C:\WINDOWS\Cursors\hnwse.cur,C:\WINDOWS\Cursors\hnesw.cur,C:\WINDOWS\Cursors\hmove.cur,""
" \4C\4:\48\4 ?2?"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\handapst.ani,C:\WINDOWS\Cursors\handwait.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\handno.ani,C:\WINDOWS\Cursors\handns.ani,C:\WINDOWS\Cursors\handwe.ani,C:\WINDOWS\Cursors\handnwse.ani,C:\WINDOWS\Cursors\handnesw.ani,C:\WINDOWS\Cursors\hmove.cur,""
"\24\48\4=\4>\0047\0040\0042\4@\4"=""C:\WINDOWS\Cursors\3dgarro.cur,,C:\WINDOWS\Cursors\dinosaur.ani,C:\WINDOWS\Cursors\dinosau2.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\banana.ani,C:\WINDOWS\Cursors\3dsns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dsnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dsmove.cur,""
"\22\4 ?A\4B\0040\4@\4>\4<\4 ?A\4B\48\4;\0045\4"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\horse.ani,C:\WINDOWS\Cursors\barber.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\coin.ani,C:\WINDOWS\Cursors\3dgns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dgnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dgmove.cur,""
"\24\48\4@\48\0046\0045\4@\4"=""C:\WINDOWS\Cursors\harrow.cur,,C:\WINDOWS\Cursors\drum.ani,C:\WINDOWS\Cursors\metronom.ani,C:\WINDOWS\Cursors\hcross.cur,C:\WINDOWS\Cursors\hibeam.cur,,C:\WINDOWS\Cursors\piano.ani,C:\WINDOWS\Cursors\hns.cur,C:\WINDOWS\Cursors\hwe.cur,C:\WINDOWS\Cursors\hnwse.cur,C:\WINDOWS\Cursors\hnesw.cur,C:\WINDOWS\Cursors\hmove.cur,""
"#\0042\0045\4;\48\4G\0045\4=\4=\0040\4O\4"=""C:\WINDOWS\Cursors\larrow.cur,,C:\WINDOWS\Cursors\lappstrt.cur,C:\WINDOWS\Cursors\lwait.cur,C:\WINDOWS\Cursors\lcross.cur,C:\WINDOWS\Cursors\libeam.cur,,C:\WINDOWS\Cursors\lnodrop.cur,C:\WINDOWS\Cursors\lns.cur,C:\WINDOWS\Cursors\lwe.cur,C:\WINDOWS\Cursors\lnwse.cur,C:\WINDOWS\Cursors\lnesw.cur,C:\WINDOWS\Cursors\lmove.cur,""
"\22\0040\4@\48\0040\4F\48\48\4"=""C:\WINDOWS\Cursors\fillitup.ani,,C:\WINDOWS\Cursors\raindrop.ani,C:\WINDOWS\Cursors\counter.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\wagtail.ani,C:\WINDOWS\Cursors\sizens.ani,C:\WINDOWS\Cursors\sizewe.ani,C:\WINDOWS\Cursors\sizenwse.ani,C:\WINDOWS\Cursors\sizenesw.ani,""
"\36\0041\4J\0045\4<\4=\0040\4O\4 ?1\4@\4>\4=\0047\4>\0042\0040\4O\4"=""C:\WINDOWS\Cursors\3dgarro.cur,,C:\WINDOWS\Cursors\appstar2.ani,C:\WINDOWS\Cursors\hourgla2.ani,C:\WINDOWS\Cursors\cross.cur,,,C:\WINDOWS\Cursors\3dgno.cur,C:\WINDOWS\Cursors\3dgns.cur,C:\WINDOWS\Cursors\3dgwe.cur,C:\WINDOWS\Cursors\3dgnwse.cur,C:\WINDOWS\Cursors\3dgnesw.cur,C:\WINDOWS\Cursors\3dgmove.cur,""
"'\0045\4@\4=\0040\4O\4 ?"="C:\WINDOWS\cursors\arrow_r.cur,C:\WINDOWS\cursors\help_r.cur,C:\WINDOWS\cursors\wait_r.cur,C:\WINDOWS\cursors\busy_r.cur,C:\WINDOWS\cursors\cross_r.cur,C:\WINDOWS\cursors\beam_r.cur,C:\WINDOWS\cursors\pen_r.cur,C:\WINDOWS\cursors\no_r.cur,C:\WINDOWS\cursors\size4_r.cur,C:\WINDOWS\cursors\size3_r.cur,C:\WINDOWS\cursors\size2_r.cur,C:\WINDOWS\cursors\size1_r.cur,C:\WINDOWS\cursors\move_r.cur,C:\WINDOWS\cursors\up_r.cur"
"'\0045\4@\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_rm.cur,C:\WINDOWS\cursors\help_rm.cur,C:\WINDOWS\cursors\wait_rm.cur,C:\WINDOWS\cursors\busy_rm.cur,C:\WINDOWS\cursors\cross_rm.cur,C:\WINDOWS\cursors\beam_rm.cur,C:\WINDOWS\cursors\pen_rm.cur,C:\WINDOWS\cursors\no_rm.cur,C:\WINDOWS\cursors\size4_rm.cur,C:\WINDOWS\cursors\size3_rm.cur,C:\WINDOWS\cursors\size2_rm.cur,C:\WINDOWS\cursors\size1_rm.cur,C:\WINDOWS\cursors\move_rm.cur,C:\WINDOWS\cursors\up_rm.cur"
"'\0045\4@\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_rl.cur,C:\WINDOWS\cursors\help_rl.cur,C:\WINDOWS\cursors\wait_rl.cur,C:\WINDOWS\cursors\busy_rl.cur,C:\WINDOWS\cursors\cross_rl.cur,C:\WINDOWS\cursors\beam_rl.cur,C:\WINDOWS\cursors\pen_rl.cur,C:\WINDOWS\cursors\no_rl.cur,C:\WINDOWS\cursors\size4_rl.cur,C:\WINDOWS\cursors\size3_rl.cur,C:\WINDOWS\cursors\size2_rl.cur,C:\WINDOWS\cursors\size1_rl.cur,C:\WINDOWS\cursors\move_rl.cur,C:\WINDOWS\cursors\up_rl.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4"="C:\WINDOWS\cursors\arrow_i.cur,C:\WINDOWS\cursors\help_i.cur,C:\WINDOWS\cursors\wait_i.cur,C:\WINDOWS\cursors\busy_i.cur,C:\WINDOWS\cursors\cross_i.cur,C:\WINDOWS\cursors\beam_i.cur,C:\WINDOWS\cursors\pen_i.cur,C:\WINDOWS\cursors\no_i.cur,C:\WINDOWS\cursors\size4_i.cur,C:\WINDOWS\cursors\size3_i.cur,C:\WINDOWS\cursors\size2_i.cur,C:\WINDOWS\cursors\size1_i.cur,C:\WINDOWS\cursors\move_i.cur,C:\WINDOWS\cursors\up_i.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_im.cur,C:\WINDOWS\cursors\help_im.cur,C:\WINDOWS\cursors\wait_im.cur,C:\WINDOWS\cursors\busy_im.cur,C:\WINDOWS\cursors\cross_im.cur,C:\WINDOWS\cursors\beam_im.cur,C:\WINDOWS\cursors\pen_im.cur,C:\WINDOWS\cursors\no_im.cur,C:\WINDOWS\cursors\size4_im.cur,C:\WINDOWS\cursors\size3_im.cur,C:\WINDOWS\cursors\size2_im.cur,C:\WINDOWS\cursors\size1_im.cur,C:\WINDOWS\cursors\move_im.cur,C:\WINDOWS\cursors\up_im.cur"
"\30\4=\0042\0045\4@\4A\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_il.cur,C:\WINDOWS\cursors\help_il.cur,C:\WINDOWS\cursors\wait_il.cur,C:\WINDOWS\cursors\busy_il.cur,C:\WINDOWS\cursors\cross_il.cur,C:\WINDOWS\cursors\beam_il.cur,C:\WINDOWS\cursors\pen_il.cur,C:\WINDOWS\cursors\no_il.cur,C:\WINDOWS\cursors\size4_il.cur,C:\WINDOWS\cursors\size3_il.cur,C:\WINDOWS\cursors\size2_il.cur,C:\WINDOWS\cursors\size1_il.cur,C:\WINDOWS\cursors\move_il.cur,C:\WINDOWS\cursors\up_il.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?:\4@\4C\4?\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_m.cur,C:\WINDOWS\cursors\help_m.cur,C:\WINDOWS\cursors\wait_m.cur,C:\WINDOWS\cursors\busy_m.cur,C:\WINDOWS\cursors\cross_m.cur,C:\WINDOWS\cursors\beam_m.cur,C:\WINDOWS\cursors\pen_m.cur,C:\WINDOWS\cursors\no_m.cur,C:\WINDOWS\cursors\size4_m.cur,C:\WINDOWS\cursors\size3_m.cur,C:\WINDOWS\cursors\size2_m.cur,C:\WINDOWS\cursors\size1_m.cur,C:\WINDOWS\cursors\move_m.cur,C:\WINDOWS\cursors\up_m.cur"
"!\4B\0040\4=\0044\0040\4@\4B\4=\0040\4O\4 ?(?>\0043\4@\4>\4<\4=\0040\4O\4)?"="C:\WINDOWS\cursors\arrow_l.cur,C:\WINDOWS\cursors\help_l.cur,C:\WINDOWS\cursors\wait_l.cur,C:\WINDOWS\cursors\busy_l.cur,C:\WINDOWS\cursors\cross_l.cur,C:\WINDOWS\cursors\beam_l.cur,C:\WINDOWS\cursors\pen_l.cur,C:\WINDOWS\cursors\no_l.cur,C:\WINDOWS\cursors\size4_l.cur,C:\WINDOWS\cursors\size3_l.cur,C:\WINDOWS\cursors\size2_l.cur,C:\WINDOWS\cursors\size1_l.cur,C:\WINDOWS\cursors\move_l.cur,C:\WINDOWS\cursors\up_l.cur"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptions]
"\37\4\32\4"=""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GrpConv\MapGroups]
"\30\0043\4@\4K\4"="!B0=40@B=K5\3@K"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Devices]
"\20\0042\4B\4>\4 ?T?e?k?t?r?o?n?i?x? ?P?h?a?s?e?r? ?7?8?0? ?G?r?a?p?h?i?c?s? ?=\0040\4 ?S?A?S?H?A?1?"="winspool,Ne00:"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\PrinterPorts]
"\20\0042\4B\4>\4 ?T?e?k?t?r?o?n?i?x? ?P?h?a?s?e?r? ?7?8?0? ?G?r?a?p?h?i?c?s? ?=\0040\4 ?S?A?S?H?A?1?"="winspool,Ne00:,15,45"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:DNA"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 25 Jan 2008       126,976 ...H. --- "C:\Documents and Settings\All Users\„®Єг¬Ґ*вл\~WRL0002.tmp"
Fri 25 Jan 2008       126,976 ...H. --- "C:\Documents and Settings\All Users\„®Єг¬Ґ*вл\~WRL0004.tmp"

Finished!

Последний раз редактировалось Pili, 19-09-2008 в 13:57.

Отправлено: 12:13, 19-09-2008 | #10

1 2 Следующая >


Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Не работают скрипты в браузере. Есть подозрение на вирус!:(

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Вирус с отправкой SMS (Не в браузере!) borisABl Лечение систем от вредоносных программ 1 06-05-2009 11:22
[решено] Есть подозрение на траблы с железом. Хелп,кто может! nalsurr Непонятные проблемы с Железом 18 29-04-2008 17:01
Подозрение на вирус Tanusik Лечение систем от вредоносных программ 2 13-04-2008 16:30
Не работают Perl скрипты на локалке webser Вебмастеру 1 03-08-2004 18:05
Не работают php скрипты keshan Вебмастеру 7 10-07-2004 23:05


« Предыдущая тема | Следующая тема »


 
Переход