Інфікованих програм-шпигунів

Greenhorn · #1 8 квітня 2008, 18:17

Я був інфікований з будь-Spyware / Adware, я після кількох ниток опубліковані тут яких аналогічні речі, але безрезультатно.

Adware: Changed My робочого столу на повідомлення "шпигунське було виявлено, клацніть тут, щоб запустити повну перевірку", також він продовжує з'являтися з бульбашкою в кутку говорив мені ті самі речі.

Я намагався завантажити та запустити купу програм:

SmitFraudFix
Combofix
ATF-Cleaner
CCleaner
SpyBotSearch & Destroy

Але жоден з них, здається, мають фіксовану нічого ...

Будь ласка, допоможіть!

Я доклав букет з найостанніших журналів.

Зелений

**evilfantasy** · #2 8 квітня 2008, 22:49

Ласкаво просимо на CJ Greenhorn

Видаліть ці файли / папки, а саме:

1. Перейти на Початок > Тікати > Тип Notepad.exe та натисніть OK , Щоб відкрити Блокнот.
Це повинен Блокнот бути, не Wordpad.

Натисніть Початок , Потім Тікати
Друкувати notepad.exe Виконати Box.

2. Скопіювати текст у поле нижче коді, виділивши весь текст та натиснувши Ctrl + C

Код:

KillAll:: Folder:: C: \ WINDOWS \ FLEOK File:: C: \ WINDOWS \ didduid.ini C: \ WINDOWS \ system32 \ wmsdkns.exe

3. Перейдіть у вікно Блокнота, та натисніть Змінити > Вставити
4. Потім натисніть Файл > Зберегти
5. Файл CFScript.txt - Збережіть файл на робочому столі
6. Потім перетягніть CFScript (утримуючи ліву кнопку миші під час перетягування файлу) і Drop It (відпустіть ліву кнопку миші) в ComboFix.exe як ви бачите на скріншоті нижче. Важливо: Виконати цю інструкцію уважно!

ComboFix почне виконувати, просто виконайте інструкції на екрані.
Після перезавантаження (у випадку вона просить перезавантаження), це приведе журнал для вас.
Пост ", що журнал (Combofix.txt) у Ваш таку відповідь.

Примітка: Чи не MouseClick ComboFix вікном під час його роботи. Це може викликати припинення роботи системи

----------

Відкрите Hijackthis і виберіть Виконайте перевірку системи тільки.

Встановіть прапорець поруч із наступні позиції: (якщо є)

O2 - BHO: (без назви) - (00000250-0320-4dd4-be4f-7566d2314352) - (немає файлу)
O2 - BHO: (без назви) - (13197ace-6851-45C3-a7ff-c281324d5489) - (немає файлу)
O2 - BHO: (без назви) - (15651c7c-e812-44a2-a9ac-b467a2233e7d) - (немає файлу)
O2 - BHO: (без назви) - (4e1075f4-eec4-4a86-add7-cd5f52858c31) - (немає файлу)
O2 - BHO: (без назви) - (4e7bd74f-2b8d-469e-92c6-ce7eb590a94d) - (немає файлу)
O2 - BHO: (без назви) - (5929cd6e-2062-44a4-b2c5-2c7e78fbab38) - (немає файлу)
O2 - BHO: (без назви) - (5dafd089-24b1-4c5e-bd42-8ca72550717b) - (немає файлу)
O2 - BHO: (без назви) - (5fa6752a-c4a0-4222-88c2-928ae5ab4966) - (немає файлу)
O2 - BHO: (без назви) - (622cc208-b014-4fe0-801B-874a5e5e403a) - (немає файлу)
O2 - BHO: (без назви) - (8674aea0-9d3d-11d9-99dc-00600f9a01f1) - (немає файлу)
O2 - BHO: (без назви) - (965a592f-8efa-4250-8630-7960230792f1) - (немає файлу)
O2 - BHO: (без назви) - (9c5b2f29-1f46-4639-a6b4-828942301d3e) - (немає файлу)
O2 - BHO: (без назви) - (cf021f40-3e14-23a5-cba2-717765728274) - (немає файлу)
O2 - BHO: (без назви) - (fc3a74e5-f281-4F10-ae1e-733078684f3c) - (немає файлу)
O2 - BHO: (без назви) - (ffff0001-0002-101a-a3c9-08002b2f49fb) - (немає файлу)
O4 - HKLM \ .. \ Run: [SB Audigy 2 меню завантаження] / L: ENG<- Якщо це дійсно потрібно, щоб запускатися при старті, яка зазвичай не потрібно.

Важливо: Закрийте всі вікна, крім Hijackthis а потім натисніть кнопку Фікс перевірили.

Вихід HijackThis.

----------

Будь ласка, скачайте АТФ чистіше Atribune. АТФ CLEANER.EXE

Переконайтеся, що всі закриті вікна браузера.

Під Головний вкладці поставте галочку поруч із Обрати всіх.
Натисніть Порожні Закладки кнопки. (Примітка: Якщо ви вилучили Cookies, автоматизованих Увійти на форумах і сайтах будуть відключені. Якщо ви не хочете цього, зніміть прапорець Печиво)
Якщо ви використовуєте Firefox Браузер:
Натисніть на Firefox на верхній частині і поставте галочку поруч із Обрати всіх.
Якщо ви хочете зберегти ваші збережені паролі, натисніть Ні у командному рядку.
Натисніть Порожні Закладки кнопки. (Примітка: Якщо ви вилучили Cookies, автоматизованих Увійти на форумах і сайтах будуть відключені. Якщо ви не хочете цього, зніміть прапорець Печиво)
Якщо ви використовуєте Opera Браузер:
Натисніть на Opera на верхній частині і поставте галочку поруч із Обрати всіх.
Якщо ви хочете зберегти ваші збережені паролі, натисніть Ні у командному рядку.
Натисніть Порожні Закладки кнопки. (Примітка: Якщо ви вилучили Cookies, автоматизованих Увійти на форумах і сайтах будуть відключені. Якщо ви не хочете цього, зніміть прапорець Печиво)

Важливо: Перезавантажте комп'ютер, перш ніж продовжити.

----------

Важливо: Видалення версії Hijackthis у вас є. Це стара версія Бета, і ми повинні мати нову версію, як і перейменування його в снайпера.

Перший Go ТУТ і робити ці кроки в порядку.

Крок третій -- Malwarebytes 'Anti-Malware (MBAM)
Крок четвертий -- Оновлення Java
Крок шостий -- HijackThis

Тепер запускаємо новий Hijackthis сканування і посаду увійти разом з іншими.

----------

Наступне повідомлення просять додати
Combofix журналу
MBAM журналу
NEW Hijackthis журналу

Greenhorn · #3 9 квітня 2008, 11:51

Гей, спасибі за теплий прийом і відповідь SWIFT, а також Слава до вас за порадою!

Я дотримувався всіх ваших вказівок, як ви сказали, після додавання сценарію comofix вірус, здавалося, зникли, але я пішов за іншими із кроків у будь-якому випадку до makesure.

Я зробив я Hijackthis! сканування, а файли, які ви просили мене видалити вже не було, тому я вгадую ComboFix, має позбавитися від них.

Я побіг шкідливих байт, добре, і він знайшов деякі файли, які я мав його видалити.

Схоже, це все добре, тепер немає ніякої Довідкова оголошенні або міхур спливаючі вікна, я надає журнали на їхнє прохання. Стиснули 2 з них, оскільки вони були більш обмежити розмір файлу, стиснуті з Winrar потім перейменували як. ZIP, сподіваюся, що це нормально.

Ще раз спасибі Evilfantasy.

ComboFix 08-04-08.7 - Ashton 2008-04-09 18:21:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.682 [GMT 1:00]
Running From: C: \ Documents і Settings \ Ashton \ Desktop \ ComboFix.exe
Командного рядка використовувати:: C: \ Documents і Settings \ Ashton \ Desktop \ CFScript.txt
* Створена нова точка відновлення
* Резидент А.В. активний

ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої!

File::
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ system32 \ wmsdkns.exe
.

((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Program Files \ 180search помічник
C: \ Program Files \ 180search помічник \ 180sa.exe
C: \ Program Files \ 180search помічник \ sau.exe
C: \ Program Files \ 180searchassistant
C: \ Program Files \ 180searchassistant \ saap.exe
C: \ Program Files \ 180searchassistant \ sac.exe
C: \ Program Files \ 180solutions
C: \ Program Files \ 180solutions \ sais.exe
C: \ Program Files \ Seekmo
C: \ Program Files \ Seekmo \ seekmohook.dll
C: \ Program Files \ STC
C: \ Program Files \ НТЦ \ csv5p070.exe
C: \ Program Files \ Sysmnt
C: \ Program Files \ Sysmnt \ Ssmgr.exe
C: \ Program Files \ Zango
C: \ Program Files \ Zango \ zango.exe
C: \ WINDOWS \ 180ax.exe
C: \ WINDOWS \ 2020search.dll
C: \ WINDOWS \ 2020search2.dll
C: \ WINDOWS \ bjam.dll
C: \ WINDOWS \ bokja.exe
C: \ WINDOWS \ cdsm32.dll
C: \ WINDOWS \ default.htm
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ FLEOK
C: \ WINDOWS \ FLEOK \ 180ax.exe
C: \ WINDOWS \ mspphe.dll
C: \ WINDOWS \ mssvr.exe
C: \ WINDOWS \ saiemod.dll
C: \ WINDOWS \ salm.exe
C: \ WINDOWS \ stcloader.exe
C: \ WINDOWS \ swin32.dll
C: \ WINDOWS \ system32 \ msixu.dll
C: \ WINDOWS \ system32 \ wer8274.dll
C: \ WINDOWS \ system32 \ wmsdkns.exe
C: \ WINDOWS \ TEMP \ salm.exe
C: \ WINDOWS \ updatetc.exe
C: \ WINDOWS \ voiceip.dll

.
((((((((((((((((((((((((( Фото, створених з 2008-03-09 до 2008-04-09 ))))))))))) ))))))))))))))))))))
.

2008-04-09 08:52. 2008-04-09 08:52 <DIR> D -------- C: \ Program Files \ Sun
2008-04-09 08:36. 2008-04-09 08:36 <DIR> D -------- C: \ Program Files \ Trend Micro
2008-04-09 08:35. 2008-04-09 08:35 <DIR> D -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-04-09 08:35. 2008-04-09 08:35 <DIR> D -------- C: \ Documents і Settings \ Ashton \ Application Data \ Malwarebytes
2008-04-09 08:35. 2008-04-09 08:35 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2008-04-09 08:31. 2008-04-09 08:31 <DIR> D -------- C: \ Program Files \ Common Files \ Authentium
2008-04-09 08:31. 2008-04-09 18:11 53192 - ------ C: \ WINDOWS \ System32 \ Drivers \ rp_skt32.sys
2008-04-09 08:31. 2007-04-19 11:36 48384 - ------ C: \ WINDOWS \ System32 \ Drivers \ rp_pkt32.sys
2008-04-09 08:30. 2008-04-09 08:30 <DIR> D -------- C: \ Program Files \ Raxco
2008-04-09 08:30. 2008-04-09 18:07 <DIR> D -------- C: \ Program Files \ Common Files \ Сканер
2008-04-09 08:30. 2008-04-09 08:30 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Raxco
2008-04-09 08:28. 2008-04-09 08:28 <DIR> D -------- C: \ Documents і Settings \ Ashton \ Application Data \ InstallShield
2008-04-09 08:25. 2008-04-09 08:30 <DIR> D -------- C: \ Program Files \ Virgin Broadband
2008-04-09 01:42. 2008-04-09 01:42 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Yahoo! Компаньон
2008-04-09 01:14. 2008-04-09 01:14 <DIR> D -------- C: \ Program Files \ Yahoo!
2008-04-09 01:13. 2008-04-09 01:15 <DIR> D -------- C: \ Program Files \ CCleaner
2008-04-09 00:43. 2008-04-09 01:52 3314 - ------ C: \ WINDOWS \ system32 \ tmp.reg
2008-04-09 00:42. 2007-09-06 00:22 289144 - ------ C: \ WINDOWS \ system32 \ VCCLSID.exe
2008-04-09 00:42. 2006-04-27 17:49 288417 - ------ C: \ WINDOWS \ system32 \ SrchSTS.exe
2008-04-09 00:42. 2008-03-29 00:19 86528 - ------ C: \ WINDOWS \ system32 \ VACFix.exe
2008-04-09 00:42. 2008-04-08 22:44 82432 - ------ C: \ WINDOWS \ system32 \ IEDFix.exe
2008-04-09 00:42. 2003-06-05 21:13 53248 - ------ C: \ WINDOWS \ system32 \ Process.exe
2008-04-09 00:42. 2004-07-31 18:50 51200 - ------ C: \ WINDOWS \ system32 \ dumphive.exe
2008-04-09 00:42. 2007-10-04 00:36 25600 - ------ C: \ WINDOWS \ system32 \ WS2Fix.exe
2008-04-09 00:01. 2008-04-09 00:01 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ FLEXnet
2008-04-08 23:57. 2008-04-08 23:57 <DIR> D -------- C: \ Program Files \ Spybot - Search & Destroy
2008-04-08 23:57. 2008-04-09 00:46 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2008-04-08 23:50. 2008-04-08 23:50 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ ALM
2008-04-08 23:47. 2008-04-08 23:47 <DIR> D -------- C: \ Program Files \ Bonjour
2008-04-08 23:29. 2008-04-08 23:29 <DIR> D -------- C: \ Program Files \ Common Files \ Macrovision Загальні
2008-04-08 22:42. 2008-04-08 22:42 <DIR> D -------- C: \ Program Files \ PowerISO
2008-04-07 01:56. 2008-04-07 01:56 1110 - ------ C: \ WINDOWS \ mozver.dat
2008-04-01 22:42. 2008-04-01 22:42 <DIR> D - H ----- C: \ Documents і Settings \ All Users \ Application Data \ (0E8E33D8-193a-414A-A909-0F101A142D26)
2008-04-01 22:38. 2008-04-01 22:38 <DIR> D -------- C: \ Program Files \ Stardock Ігри
2008-03-28 18:39. 2008-03-28 18:39 <DIR> D -------- C: \ Documents і Settings \ Ashton \ Application Data \ dvdcss
2008-03-14 07:04. 2008-03-14 07:04 46652 - ------ C: \ WINDOWS \ System32 \ Drivers \ scdemu.sys
2008-03-13 23:07. 2008-03-13 23:07 <DIR> D -------- C: \ Program Files \ Common Files \ NSV

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 07:54 --------- D ----- W C: \ Program Files \ Java
2008-04-09 07:30 --------- D ----- W C: \ Program Files \ CA
2008-04-09 07:29 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Virgin Broadband
2008-04-09 07:28 --------- D - H - W C: \ Program Files \ InstallShield Installation Information
2008-04-09 01:58 --------- D ----- W C: \ Documents і Settings \ Ashton \ Application Data \ Virgin Broadband
2008-04-08 22:47 --------- D ----- W C: \ Program Files \ Common Files \ Adobe
2008-02-26 20:59 --------- D ----- W C: \ Documents і Settings \ Ashton \ Application Data \ ATI
2008-02-26 20:59 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ ATI
2008-02-26 20:50 --------- D ----- W C: \ Program Files \ ATI Technologies
2008-02-26 01:30 --------- D ----- W C: \ Program Files \ Ігри-Masters.com
2008-02-25 09:39 --------- D ----- W C: \ Program Files \ Common Files \ INCA Загальні
2008-02-25 09:19 --------- D ----- W C: \ Program Files \ GameTribe
2008-02-24 03:18 --------- D ----- W C: \ Program Files \ Temp.p
2008-02-23 22:31 --------- D ----- W C: \ Program Files \ Common Files \ DirectX
2008-02-23 22:26 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Kontiki
2008-02-23 21:42 --------- D ----- W C: \ Program Files \ OGPlanet
2008-02-22 19:06 --------- D ----- W C: \ Documents і Settings \ Ashton \ Application Data \ AdobeUM
2008-02-21 19:33 --------- D ----- W C: \ Program Files \ Three Rings дизайн
2008-02-20 22:40 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Channel4
2008-02-15 19:17 --------- D ----- W C: \ Program Files \ Winamp
2008-02-15 18:00 --------- D ----- W C: \ Program Files \ Hidden City Games
2008-02-15 16:55 --------- D ----- W C: \ Program Files \ SealOnlineUSA
2008-02-13 21:44 --------- D ----- W C: \ Program Files \ Funcom
2007-12-23 19:41 32 ---- AR C: \ Documents і Settings \ All Users \ hash.dat
2004-02-02 10:31 236510-C - AW C: \ Documents і Settings \ Ashton \ DIAG.EXE
2004-01-30 18:21 62480-C - AW C: \ Documents і Settings \ Ashton \ FETODI.COM
2004-01-09 14:28 51356-C - AW C: \ Documents і Settings \ Ashton \ FETND3.sys
2004-01-09 14:27 53136-C - AW C: \ Documents і Settings \ Ashton \ FETND4.sys
2004-01-09 14:24 40960-C - AW C: \ Documents і Settings \ Ashton \ FETND5A.sys
2004-01-09 14:23 42496-C - AW C: \ Documents і Settings \ Ashton \ FETND5B.sys
2003-11-27 15:01 57344-C - AW C: \ Documents і Settings \ Ashton \ winsetup.exe
2002-10-09 16:29 147456-C - AW C: \ Documents і Settings \ Ashton \ NTUTIL.DLL
2002-02-20 11:04 15552-C - AW C: \ Documents і Settings \ Ashton \ WINNDI.DLL
.

((((((((((((((((((((((((((((( Знімок @ 2008-04-09_ 1.41.00.14 ))))))))))) ))))))))))))))))))))))))))))))
.
- 2008-04-08 22:11:46 29696 ---- AW C: \ WINDOWS \ apphelp32.dll
+ 2008-04-09 17:08:03 9472 ---- AW C: \ WINDOWS \ apphelp32.dll
- 2008-04-08 22:11:46 14592 ---- AW C: \ WINDOWS \ asferror32.dll
+ 2008-04-09 17:08:03 8448 ---- AW C: \ WINDOWS \ asferror32.dll
- 2008-04-08 22:11:46 29952 ---- AW C: \ WINDOWS \ asycfilt32.dll
+ 2008-04-09 17:08:03 12800 ---- AW C: \ WINDOWS \ asycfilt32.dll
- 2008-04-08 22:11:46 20480 ---- AW C: \ WINDOWS \ athprxy32.dll
+ 2008-04-09 17:08:03 18432 ---- AW C: \ WINDOWS \ athprxy32.dll
- 2008-04-08 22:11:46 17408 ---- AW C: \ WINDOWS \ ati2dvaa32.dll
+ 2008-04-09 17:08:03 16896 ---- AW C: \ WINDOWS \ ati2dvaa32.dll
- 2008-04-08 22:11:46 10752 ---- AW C: \ WINDOWS \ ati2dvag32.dll
+ 2008-04-09 17:08:03 20480 ---- AW C: \ WINDOWS \ ati2dvag32.dll
- 2008-04-08 22:11:46 22016 ---- AW C: \ WINDOWS \ audiosrv32.dll
+ 2008-04-09 17:08:03 10496 ---- AW C: \ WINDOWS \ audiosrv32.dll
- 2008-04-08 22:11:47 22272 ---- AW C: \ WINDOWS \ autodisc32.dll
+ 2008-04-09 17:08:03 30464 ---- AW C: \ WINDOWS \ autodisc32.dll
- 2008-04-08 22:11:47 12288 ---- AW C: \ WINDOWS \ avifile32.dll
+ 2008-04-09 17:08:04 25856 ---- AW C: \ WINDOWS \ avifile32.dll
- 2008-04-08 22:11:47 27392 ---- AW C: \ WINDOWS \ avisynthex32.dll
+ 2008-04-09 17:08:04 23296 ---- AW C: \ WINDOWS \ avisynthex32.dll
- 2008-04-08 22:11:47 23808 ---- AW C: \ WINDOWS \ aviwrap32.dll
+ 2008-04-09 17:08:04 11776 ---- AW C: \ WINDOWS \ aviwrap32.dll
- 2008-04-08 22:11:47 17920 ---- AW C: \ WINDOWS \ browserad.dll
+ 2008-04-09 17:08:04 18944 ---- AW C: \ WINDOWS \ browserad.dll
- 2008-04-08 22:11:45 31488 ---- AW C: \ WINDOWS \ changeurl_30.dll
+ 2008-04-09 17:08:03 29696 ---- AW C: \ WINDOWS \ changeurl_30.dll
- 2007-10-10 15:36:22 10134 ---- AR C: \ WINDOWS \ Installer \ (05BCCF27-DC23-4ED9-87A2-F8D5B244B4C4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:00 10134 ---- AR C: \ WINDOWS \ Installer \ (05BCCF27-DC23-4ED9-87A2-F8D5B244B4C4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:18 26582 ---- AR C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
+ 2008-04-09 07:30:56 26582 ---- AR C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
- 2007-10-10 15:36:46 10134 ---- AR C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:31 10134 ---- AR C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 10134 ---- AR C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:45 10134 ---- AR C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 25214 ---- AR C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
+ 2008-04-09 07:31:45 25214 ---- AR C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
- 2007-10-10 15:36:52 10134 ---- AR C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:43 10134 ---- AR C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:59 10134 ---- AR C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:50 10134 ---- AR C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:00 10134 ---- AR C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:52 10134 ---- AR C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:02 10134 ---- AR C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:55 10134 ---- AR C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:48 10134 ---- AR C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:36 10134 ---- AR C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:50 10134 ---- AR C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:42 10134 ---- AR C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 10134 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:07 10134 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 25214 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
+ 2008-04-09 07:30:07 25214 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
- 2007-10-10 15:35:46 25214 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
+ 2008-04-09 07:30:07 25214 ---- AR C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
- 2007-10-10 15:36:49 10134 ---- AR C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:41 10134 ---- AR C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:57 10134 ---- AR C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:47 10134 ---- AR C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:07 10134 ---- AR C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:29 10134 ---- AR C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:11 10134 ---- AR C: \ WINDOWS \ Installer \ (DD1C392B-226D-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:50 10134 ---- AR C: \ WINDOWS \ Installer \ (DD1C392B-226D-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:32 10134 ---- AR C: \ WINDOWS \ Installer \ (ECBDDBD7-43CC-417c-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:10 10134 ---- AR C: \ WINDOWS \ Installer \ (ECBDDBD7-43CC-417c-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:09 10134 ---- AR C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:32 10134 ---- AR C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:01 10134 ---- AR C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:53 10134 ---- AR C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
- 1998-10-29 16:45:06 306688 ---- AW C: \ WINDOWS \ IsUninst.exe
+ 1998-10-29 15:45:06 306688 ---- AW C: \ WINDOWS \ IsUninst.exe
- 2008-04-08 22:11:49 14080 ---- AW C: \ WINDOWS \ msa64chk.dll
+ 2008-04-09 17:08:06 11776 ---- AW C: \ WINDOWS \ msa64chk.dll
- 2008-04-08 22:11:49 26368 ---- AW C: \ WINDOWS \ msapasrc.dll
+ 2008-04-09 17:08:06 26624 ---- AW C: \ WINDOWS \ msapasrc.dll
- 2008-04-08 22:11:48 25344 ---- AW C: \ WINDOWS \ ntnut.exe
+ 2008-04-09 17:08:05 8960 ---- AW C: \ WINDOWS \ ntnut.exe
- 2008-04-08 22:11:47 18432 ---- AW C: \ WINDOWS \ shdocpe.dll
+ 2008-04-09 17:08:05 32000 ---- AW C: \ WINDOWS \ shdocpe.dll
- 2008-04-08 22:11:48 21504 ---- AW C: \ WINDOWS \ shdocpl.dll
+ 2008-04-09 17:08:05 27904 ---- AW C: \ WINDOWS \ shdocpl.dll
- 2007-09-24 22:30:28 135168 ---- AW C: \ WINDOWS \ system32 \ java.exe
+ 2008-02-22 00:23:35 135168 ---- AW C: \ WINDOWS \ system32 \ java.exe
- 2007-09-24 22:30:30 135168 ---- AW C: \ WINDOWS \ system32 \ javaw.exe
+ 2008-02-22 00:23:39 135168 ---- AW C: \ WINDOWS \ system32 \ javaw.exe
- 2007-09-24 23:31:42 139,264 ---- AW C: \ WINDOWS \ system32 \ javaws.exe
+ 2008-02-22 01:33:32 139,264 ---- AW C: \ WINDOWS \ system32 \ javaws.exe
- 2008-04-08 22:11:50 9984 ---- AW C: \ WINDOWS \ system32 \ MSNSA32.dll
+ 2008-04-09 17:08:07 14336 ---- AW C: \ WINDOWS \ system32 \ MSNSA32.dll
- 2008-04-08 22:11:48 31488 ---- AW C: \ WINDOWS \ system32 \ ntnut32.exe
+ 2008-04-09 17:08:05 28928 ---- AW C: \ WINDOWS \ system32 \ ntnut32.exe
- 2008-04-08 22:11:48 21760 ---- AW C: \ WINDOWS \ system32 \ shdocpe.dll
+ 2008-04-09 17:08:05 26880 ---- AW C: \ WINDOWS \ system32 \ shdocpe.dll
- 2008-04-08 22:11:48 19712 ---- AW C: \ WINDOWS \ system32 \ SIPSPI32.dll
+ 2008-04-09 17:08:06 30720 ---- AW C: \ WINDOWS \ system32 \ SIPSPI32.dll
- 2008-04-08 22:11:47 12800 ---- AW C: \ WINDOWS \ winsb.dll
+ 2008-04-09 17:08:04 18432 ---- AW C: \ WINDOWS \ winsb.dll
- 2007-10-10 15:35:42 1233920 ---- AW C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ Msxml4.dll
+ 2008-04-09 07:30:03 1233920 ---- AW C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ Msxml4.dll
- 2007-10-10 15:35:42 82432 ---- AW C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
+ 2008-04-09 07:30:03 82432 ---- AW C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
.
- Знімки скидаються до цієї дати --
.
((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"MsnMsgr" = "C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe" [2007-01-19 12:54 5674352]
"SB Audigy 2 Стартова меню" = "/ L: РУС" []
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 08:56 15360]

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"IndexCleaner" = "C: \ Program Files \ Virgin Broadband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"DLA" = "C: \ WINDOWS \ System32 \ DLA \ tfswctrl.exe" [2004-03-15 01:04 122933]
"UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-19 01:01 110592]
"CTSysVol" = "C: \ Program Files \ Creative \ SBAudigy2 \ Surround Mixer \ CTSysVol.exe" [2002-10-29 09:18 49152]
"CTDVDDet" = "C: \ Program Files \ Creative \ SBAudigy2 \ DVDAudio \ CTDVDDet.EXE" [2002-09-30 01:00 45056]
"CTHelper" = "CTHELPER.EXE" [2003-02-20 23:45 28672 C: \ WINDOWS \ system32 \ CTHELPER.EXE]
"AsioReg" = "regsvr32.exe" [2004-08-04 08:56 11776 C: \ WINDOWS \ system32 \ regsvr32.exe]
"UpdReg" = "C: \ WINDOWS \ UpdReg.EXE" [2000-05-11 01:00 90112]
"ATIPTA" = "C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe" [2004-05-25 22:35 335872]
"BJCFD" = "C: \ Program Files \ BroadJump \ Client Фонду \ CFD.exe" [2003-01-27 17:16 376912]
"WinampAgent" = "C: \ Program Files \ Winamp \ winampa.exe" [2008-01-15 23:54 37376]
"StartCCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" [2006-11-10 13:35 90112]
"PWRISOVM.EXE" = "C: \ Program Files \ PowerISO \ PWRISOVM.EXE" [2008-03-15 00:50 233472]
"Workflow" = "D: \ Installs \ workflow.exe" []
"Broadbandadvisor.exe" = "C: \ Program Files \ Virgin Broadband \ консультант \ Broadbandadvisor.exe" [2007-08-07 18:49 2061552]
"PCguard" = "C: \ Program Files \ Virgin Broadband \ PCguard \ Rps.exe" [2007-09-05 14:10 310000]
"-FreedomNeedsReboot" = "C: \ Program Files \ Virgin Broadband \ PCguard \ ZkRunOnceR.exe" [2007-09-05 14:10 13552]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe" [2008-02-22 04:25 144784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"IndexCleaner" = "C: \ Program Files \ Virgin Broadband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"CTFMON.EXE" = "C: \ WINDOWS \ System32 \ CTFMON.EXE" [2004-08-04 08:56 15360]

C: \ Documents і Settings \ All Users \ Start Menu \ Programs \ Startup \
Adobe Reader Speed Launch.lnk - C: \ Program Files \ Acrobat 7.0 \ Reader \ reader_sl.exe [2004-12-14 05:44:06 29696]
Microsoft Office.lnk - C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ drivers32]
"VIDC.X264" = x264vfw.dll
"msacm.ac3acm" = AC3ACM.acm
"msacm.scg726" = scg726.acm
"msacm.alf2cd" = alf2cd.acm
"vidc.dvsd" = mcdvd_32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ MSConfig \ startupreg \ DAEMON Tools]
- ------ 2007-08-29 16:09 171464 C: \ Program Files \ DAEMON Tools \ daemon.exe

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"% WINDIR% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ msnmsgr.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ livecall.exe" =
"C: \ \ Program Files \ \ Stardock Games \ \ гріхи сонячної імперії \ \ гріхи Сонячної Empire.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"15808: TCP" = 15808: TCP: 15808 TCP BitComet
"15808: UDP" = 15808: UDP: BitComet 15808 UDP
"3724: TCP" = 3724: TCP: Blizzard Downloader: 3724

S3 iadusb; GlobespanVirata ОВР LAN USB модем C: \ WINDOWS \ system32 \ DRIVERS \ glauiad.sys [2004-07-02 09:20]
S3 Radialpoint служб безпеки; Virgin Broadband PCguard C: \ WINDOWS \ system32 \ Dllhost.exe [2004-08-04 08:56]
S3 XDva037; XDva037 C: \ WINDOWS \ system32 \ XDva037.sys []

.
Вміст папки "Призначені завдання" '
"2008-04-03 19:15:02 C: \ WINDOWS \ Tasks \ AppleSoftwareUpdate.job"
- C: \ Program Files \ Apple Software Update \ SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1351 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-04-09 18:26:36
Windows 5.1.2600 Service Pack 2 NTFS

Сканування приховані процеси ...

Сканування приховані Autostart записів ...

Сканування приховані файли ...

Перевірка успішно завершена
приховані файли: 0

************************************************** ************************
.
------------------------ Інші процеси, запущені ----------------------- --
.
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Virgin Broadband \ PCguard \ Fws.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ WINDOWS \ System32 \ CTsvcCDA.exe
C: \ Program Files \ Common Files \ Authentium \ Antivirus \ dvpapi.exe
C: \ Program Files \ CA \ PPRT \ Bin \ ITMRTSVC.exe
C: \ Program Files \ Raxco \ PerfectDisk \ PDAgent.exe
C: \ WINDOWS \ system32 \ PnkBstrA.exe
C: \ Program Files \ Analog Devices \ SoundMAX \ spkrmon.exe
C: \ WINDOWS \ system32 \ Wdfmgr.exe
C: \ WINDOWS \ System32 \ MsPMSPSv.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.EXE
C: \ Program Files \ Raxco \ PerfectDisk \ PDEngine.exe
C: \ Program Files \ Virgin Broadband \ консультант \ BroadbandadvisorComHandler.exe
C: \ Program Files \ Virgin Broadband \ PCguard \ rpsupdaterR.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
.
************************************************** ************************
.
Була перезавантажена Час завершення: 2008-04-09 18:31:56 - машина
ComboFix-карантин-files.txt 2008-04-09 17:31:47
ComboFix2.txt 2008-04-09 00:59:01
ComboFix3.txt 2008-04-09 00:41:25
Попередньо Run: 12340674560 байт вільно
Після Run: 12324302848 байт вільно
.
2008-03-22 04:20:29 --- EOF ---

**evilfantasy** · #4 9 квітня 2008, 12:02

Добре виглядає. Тепер запустіть ATF Cleaner знову, щоб позбавитися від шкідливих файлів у папках Темп.

Я поклав журнал Combofix на посаду. Я впевнений, ви можете побачити це: ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої! Це загальноприйнята і ви можете встановити консоль відновлення, якщо вибирати з наступних напрямків ТУТ

Пора зробити деякі очищення і забезпечити роботою, яку Ви зробили.

Натисніть ПОЧАТОК тоді RUN
Тепер введіть Combofix / U У runbox
Переконайтеся, що існує прогалина між Combofix і / U
Потім натисніть Увійти.

Ця процедура буде:

Виключити:
- ComboFix та пов'язані з ним файли та папки.
- VundoFix резервні копії, якщо вони присутні
- C: \ Deckard папки, якщо він присутній
- C: _OtMoveIt папки, якщо він присутній
Скиньте налаштування годин.
Приховувати розширення файлів, якщо це буде потрібно.
Приховувати системні / приховані файли, якщо це буде потрібно.
Встановити новий, чистий Точка відновлення.

Завантажити OTMoveIt2 по Oldtimer OTMoveIt2.exe і розмістити його на вашому робочому столі. (якщо у вас вже є)

1. Двічі клацніть OTMoveIt2.exe запустіть його.
Vista користувачі клацніть правою кнопкою миші і виберіть "Запуск від імені адміністратора
2. Натисніть на Очищення! кнопки.
3. OTMoveIt2 буде завантажити список з Інтернет, якщо ваш брандмауер або інших оборонних програм попереджає Вас, надати йому доступ.
4. Натисніть ТАК на наступному рядку (список завантажили, ви хочете, щоб почати процес очищення?)

Після завершення виходу з OTMoveIt2

Встановити нову контрольну точку відновлення для запобігання можливого повторного зараження від старої
Установка нової точки відновлення після чищення вашої системи дозволить комп'ютеру для відкату до чисто робочий стан у разі потреби.

Перейти на Початок > Програми > Аксесуари > Засоби керування системою та натисніть Відновлення системи
Виберіть перемикач Створення точки відновлення У першому вікні натисніть кнопку Наступний Дайте точку відновлення ім'я, то натисніть Створити.
Нові знімки будуть нанесені на поточну дату і час. Тримайте цього журналу, щоб ви могли легко знайти її, якщо Вам буде потрібно використовувати "Відновлення системи".
Далі йдіть в Початок > Тікати і тип Cleanmgr
Натисніть OK
Натисніть Додаткові параметри Таб.
Натисніть Clean Up в розділі "Відновлення системи", щоб видалити всі попередні точки відновлення за винятком новостворених чисту.

Використовуйте Secunia Software інспектор для перевірки застаріле програмне забезпечення.
Застаріла програмне забезпечення вразливостей, що шкідливі програми можна використовувати.

Натисніть Start Now
Встановіть прапорець поруч із Увімкніть ретельну перевірку системи.
Натисніть Початок
Дозволити сканування з обробкою і Прокрутіть вниз, щоб побачити, якщо потрібні будь-які оновлення.
Оновлення нічого в списку.

Від'їзд Підтримці свого безпечної On The Web Поради безкоштовні утиліти і тримати вас у безпечне майбутнє.

Також див Повільний комп'ютер? Він не може бути шкідливих програм на безкоштовне мийний / інструментів, що допомагають зберегти ваш комп'ютер працює гладко.

Дозвольте мені знати, якщо що-небудь ще йде вгору.

**evilfantasy** · #5 9 квітня 2008, 12:14

Мало не забув, вам необхідно встановити деякі антивірусні як можна швидше.

Я рекомендую Avast. Це безкоштовно і працює дуже добре. Бачити ТУТ Більш детальну інформацію про нову версію.

Аналогічні нитки
Нитка	Різьба для початківців	Форум	Відповіді	Останнє повідомлення
Заражений комп'ютер	duskmon10	Вірусів, програм-шпигунів І Безпеки	22	28 листопада 2009 12:27
Моя комп'ютер заражений, я думаю? Може хто-небудь допомагати?	lawt555	Вірусів, програм-шпигунів І Безпеки	5	16 березня 2009 04:59
Діти комп'ютер інфікований?	redden137	Вірусів, програм-шпигунів І Безпеки	6	4 січня 2009 15:10
Я не впевнений, якщо мій комп'ютер заражений чи ні	Rob1	Вірусів, програм-шпигунів І Безпеки	4	4 лютого 2008 15:14

Різьба Інструменти
Показати Версія для друку Послати сторінку