LSASSMGR.exe (& ін) заражений! Будь-яка інформація / допомога?

teddynicholas · #1 9 вересня 2008, 10:31

Привіт всім,

Я дуже нове для вашого сайту, але неймовірно вдячний, що ви тут. Я натрапив на це через недавній інфекції на ноутбуці моєї мами (ми поділяємо його), і я ясно, як його вирішити.

Через чотири дні тому, IE вікна з спливаючої реклами раптом трапиться з повітряної кулі на моїй панелі пошуку, що написано: "Виявлено шкідлива програма! Натисніть тут, щоб завантажити анти-шпигунське програмне забезпечення"

Я побіг Symantec і Spybot S & D Повне сканування (не знаю, як цей вірус непомітно і ті), і вони нічого не знайшли! Тоді я почав Googling і завантажили Malwarebyte's Anti-Malware і побіг це. Він знайшов деякі речі, але це не призводить до усунення проблеми.

Я завантажив PrevxCSI але мені не вистачає $ $ $ ще купити ліцензію (але я буду, якщо це необхідно), і в ньому перераховані наступні:

C: \ WINDOWS \ system32 \ DS fmon.dll - шкідливих програм
C: \ WINDOWS \ system32 \ CSRLT.exe - Malware Dropper
C: \ WINDOWS \ MSBLT.exe - Malware Dropper
C: \ WINDOWS \ system32 \ LSASSMGR.exe - Cloaked шкідливих програм
C: \ Program Files \ Mozilla Firefox \ firefoxe.exe - Cloaked шкідливих програм
C: \ Program Files \ Internet Explorer \ iexplor.exe - Cloaked шкідливих програм
C: \ WINDOWS \ system32 \ spool.exe - Cloaked шкідливих програм
C: \ WINDOWS \ system32 \ srtsrv32.exe - Cloaked шкідливих програм
C: \ WINDOWS \ system32 \ LSSMON.exe - Malware Dropper
C: \ WINDOWS \ divx32.dll - Malware Dropper
C: \ WINDOWS \ system32 \ msupd32.exe - Malware Dropper
C: \ WINDOWS \ system32 \ upd01.exe - Malware Dropper

, Який виглядає і звучить, як багато значить для мене, і я дуже турбувалася.

Хто-небудь є якісь корисні поради для мене? Я доведеться витратити багато грошей, щоб це виправити?

Большое вам спасибо!

**evilfantasy** · #2 9 вересня 2008, 11:32

Привіт teddynicholas. Ласкаво просимо на CJ.

Завантажити ComboFix SUBS по одній з наступних посилань. Будьте впевнені, Top зберегти його в Desktop.

Link # 1
Link # 2

** Примітка: Важливо, щоб він був збережений прямо на робочому столі

Закрийте всі відкриті веб-браузерів. (Firefox, Internet Explorer, і т.д.) перед початком ComboFix.

Тимчасово вимикати ваш антивірусні, І будь-які антішпіонское реальний захист час перш сканування с. Натисніть Посилання щоб побачити список програм забезпечення безпеки, яка повинна бути відключена і як їх відключити.

Двомісні combofix.exe натисніть & виконайте вказівки на екрані.
Закінчивши ComboFix вироблятиме журнал для вас.
Опублікувати ComboFix журналу в наступному відповіді.

Важливо: Чи не MouseClick вікна ComboFix's під час його роботи. Це може призвести до нуля.

Пам'ятайте, щоб знову включити антивірусні та антишпигунські захист при ComboFix завершена.

teddynicholas · #3 16 вересня 2008, 14:27

ComboFix 08-09-15.02 - Тедді 2008-09-16 16:34:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.550 [GMT -4:00]
Running From: C: \ Documents і Settings \ Тедді \ Desktop \ ComboFix.exe
* Створена нова точка відновлення

ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої!
.

((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Documents і Settings \ LocalService \ Cookies \ system@ad.yieldmanag ER [1]. TXT
C: \ Documents і Settings \ Тедді \ Cookies \ teddy@ad.yieldmanager [1]. TXT
C: \ Windows \ Downloaded Program Files \ Setup.inf
C: \ WINDOWS \ system32 \ spool.exe

.
((((((((((((((((((((((((( Фото, створених з 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> D -------- C: \ WINDOWS \ system32 \ CatRoot_bak
2008-09-16 13:23. 2008-09-16 13:23 <DIR> D -------- C: \ WINDOWS \ LastGood
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ ITunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ IPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ () 3276BE95_AF08_429F_A64F_CA64CB79BCF6
2008-09-13 13:12. 2008-09-13 13:16 <DIR> D -------- C: \ Program Files \ Common Files \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> D -------- C: \ Program Files \ Easy SpyRemover
2008-09-08 15:45. 2008-09-06 00:59 741376 - ------ C: \ WINDOWS \ system32 \ LSSMON.EXE
2008-09-08 15:45. 2008-09-04 21:59 17920 - ------ C: \ WINDOWS \ system32 \ LSASSMGR.EXE
2008-09-07 22:34. 2008-09-02 00:16 38528 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> D -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents і Settings \ Тедді \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - ------ C: \ WINDOWS \ system32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57344 - ------ C: \ WINDOWS \ system32 \ QuickTime.qts
2008-09-05 10:44. 2008-09-06 00:59 741376 - ------ C: \ WINDOWS \ system32 \ msupd32.exe
2008-09-04 21:59. 2008-09-07 12:59 741376 - ------ C: \ WINDOWS \ system32 \ upd01.exe
2008-09-04 21:59. 2008-09-06 00:59 741376 - ------ C: \ WINDOWS \ divx32.dll
2008-09-04 21:59. 2008-09-04 21:59 17920 - ------ C: \ WINDOWS \ system32 \ srtsrv32.exe
2008-09-04 21:59. 2008-09-16 16:24 5903 - ------ C: \ WINDOWS \ system32 \ mssc32.dll
2008-09-04 21:59. 2008-09-16 16:24 5903 - ------ C: \ WINDOWS \ system32 \ bsc32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> D -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - ------ C: \ WINDOWS \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> та ------ C: \ Documents і Settings \ All Users \ Application Data \ TEMP
2008-09-01 01:20. 2008-09-07 22:19 0 - ------ C: \ WINDOWS \ system32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - ------ C: \ WINDOWS \ system32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - ------ C: \ WINDOWS \ system32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> D -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> D -------- C: \ Program Files \ Common Files \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> D -------- C: \ Program Files \ Bonjour
2008-08-29 14:33. 2006-09-18 17:55 109744 - ------ C: \ WINDOWS \ System32 \ Drivers \ Symevent.sys
2008-08-29 14:33. 2006-09-18 17:55 48816 - ------ C: \ WINDOWS \ system32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - ------ C: \ WINDOWS \ System32 \ DNS-SD.EXE
2008-08-29 09:53. 2008-08-29 09:53 61440 - ------ C: \ WINDOWS \ system32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-ра ------ C: \ WINDOWS \ system32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-ра ------ C: \ WINDOWS \ system32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 20:53 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- D ----- W C: \ Program Files \
2008-09-13 17:13 --------- D ----- W C: \ Program Files \ Apple Software Update
2008-09-08 18:53 249956 ---- AW C: \ WINDOWS \ system32 \ dsfMon.dll
2008-09-01 07:50 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2008-09-01 05:56 --------- D ----- W C: \ Program Files \ Spybot - Search & Destroy
2008-08-30 05:24 --------- D ----- W C: \ Program Files \ Common Files \ Adobe
2008-08-29 18:34 --------- D ----- W C: \ Program Files \ Common Files \ Symantec Загальні
2008-08-29 18:33 --------- D ----- W C: \ Program Files \ Symantec
2008-08-29 18:32 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Symantec
2008-08-27 08:22 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ FLEXnet
2008-08-26 00:52 --------- D ----- W C: \ Documents і Settings \ Тедді \ Application Data \ openoffice.org2
2008-08-13 21:33 --------- D ----- W C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- D ----- W C: \ Program Files \ PHM
2008-07-26 08:55 --------- D ----- W C: \ Program Files \ OpenOffice.org 2.4
2008-07-26 08:54 --------- D ----- W C: \ Program Files \ Java
2008-07-19 02:10 94920 ---- AW C: \ WINDOWS \ system32 \ cdm.dll
2008-07-19 02:10 53448 ---- AW C: \ WINDOWS \ system32 \ wuauclt.exe
2008-07-19 02:09 563912 ---- AW C: \ WINDOWS \ system32 \ wuapi.dll
2008-07-19 02:09 325832 ---- AW C: \ WINDOWS \ system32 \ wucltui.dll
2008-07-19 02:09 205,000 ---- AW C: \ WINDOWS \ system32 \ wuweb.dll
2008-07-19 02:09 1811656 ---- AW C: \ WINDOWS \ system32 \ wuaueng.dll
2008-07-07 20:32 253,952 ---- AW C: \ WINDOWS \ system32 \ Es.dll
2008-06-24 22:12 295936 ------ W C: \ WINDOWS \ system32 \ wmpeffects.dll
2008-06-24 16:23 74240 ---- AW C: \ WINDOWS \ system32 \ mscms.dll
2008-06-23 16:57 826368 ---- AW C: \ WINDOWS \ system32 \ Wininet.dll
2008-06-20 17:41 245,248 ---- AW C: \ WINDOWS \ system32 \ mswsock.dll
2008-04-19 16:57 32 ---- AW C: \ Documents і Settings \ All Users \ Application Data \ ezsid.dat
.

((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"SWG" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"QuickTime Task" = "C: \ Program Files \ \ qttask.exe" [2008-09-06 413696]
"H / PC Connection агент" = "C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Search & Destroy \ teatimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"RemoteControl" = "C: \ Program Files \ Common Files \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Common Files \ Roxio Загальні \ SYSTEM \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"НВС Windows KeyHook" = "C: \ WINDOWS \ system32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ WINDOWS \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Staples \ EasyPrint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронізація Manager" = "C: \ WINDOWS \ system32 \ mobsync.exe" [2004-08-04 143360]
"Zune Launcher" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed Launcher" = "C: \ Program Files \ Reader 8.0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NvCpl.dll, NvStartup" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Speed Launcher" = "C: \ Program Files \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"Layersecurity Servicemonitor" = "C: \ WINDOWS \ system32 \ LSSMON.EXE" [2008-09-06 741376]
"iTunesHelper" = "C: \ Program Files \ ITunes \ iTunesHelper.exe" [2008-09-10 289576]
"Звукорежисер" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ WINDOWS \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ WINDOWS \ system32 \ SiSPower.dll]

C: \ Documents і Settings \ Тедді \ Start Menu \ Programs \ Startup \
Adobe Gamma.lnk - C: \ Program Files \ Common Files \ Калібрування \ Adobe Gamma Loader.exe [2005-03-16 113664]
OneNote 2007 Екран "Кліпер" і Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents і Settings \ All Users \ Start Menu \ Programs \ Startup \
Search.lnk робочий стіл Windows - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ файл образу виконання Options \ firefox.exe]
"Debugger" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ файл образу виконання Options \ iexplore.exe]
"Debugger" = C: \ Program Files \ Internet Explorer \ iexplor.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ файл образу виконання Options \ spoolsv.exe]
"Debugger" = C: \ WINDOWS \ system32 \ spool.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Program Files \ \ Common Files \ \ AOL \ \ Навантажувачі \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% WINDIR% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync RAPI менеджер
"C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Connection Manager
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Застосування
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ OUTLOOK.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Onenote.exe" =
"C: \ Program Files \ \ Айседора \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ ITunes \ \ itunes.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: Безпечний доступ Агент порт
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Enabled: ActiveSync служби

* Новостворена служба * - CATCHME
* Новостворена служба * - PROCEXP90
.
Вміст папки "Призначені завдання" '
.
- - - - Сиріт REMOVED - - - --

HKLM-Run-CSRLT.EXE - C: \ WINDOWS \ system32 \ CSRLT.EXE

.
------- ------- Додатковій скануванні
.
Firefox -: профіль - C: \ Documents і Settings \ Тедді \ Application Data \ Mozilla \ Firefox \ Profiles \ 6xzfp0sa.default \
Firefox -: prefs.js - SEARCH.DEFAULTURL - hxxp: / / www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q =
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-09-16 16:51:46
Windows 5.1.2600 Service Pack 2 NTFS

Сканування приховані процеси ...

Сканування приховані Autostart записів ...

Сканування приховані файли ...

Перевірка успішно завершена
приховані файли: 0

************************************************** ************************
.
Час завершення: 2008-09-16 17:15:59
ComboFix-карантин-files.txt 2008-09-16 21:15:16

Попередньо Run: 10478669824 байт вільно
Після Run: 10446106624 байт вільно

190 --- --- EOF 2008-09-11 20:07:51

**evilfantasy** · #4 16 вересня 2008, 14:45

Примітка: такі дії були створені спеціально для даного користувача. Якщо Ви не цьому користувачеві, НЕ дотримуватися цих приписів, оскільки вони можуть привести до пошкодження роботою системи

Видаліть ці файли / папки, а саме:

1. Перейти на Початок > Тікати > Тип Notepad.exe та натисніть OK , Щоб відкрити Блокнот.
Це повинен Блокнот бути, не Wordpad.
2. Скопіювати текст у поле нижче коді, виділивши весь текст та натиснувши Ctrl + C

Код:

KillAll:: File:: C: \ Program Files \ Easy SpyRemover C: \ WINDOWS \ system32 \ LSSMON.EXE C: \ WINDOWS \ system32 \ LSASSMGR.EXE C: \ WINDOWS \ system32 \ msupd32.exe C: \ WINDOWS \ system32 \ upd01.exe C: \ WINDOWS \ system32 \ srtsrv32.exe C: \ WINDOWS \ system32 \ mssc32.dll C: \ WINDOWS \ system32 \ bsc32.dll реєстру:: [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ зображення Файл виконання Options \ iexplore.exe] "Debugger" =- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ файл образу виконання Options \ spoolsv.exe] "Debugger" =-

3. Перейдіть у вікно Блокнота, та натисніть Змінити > Вставити
4. Потім натисніть Файл > Зберегти
5. Файл CFScript.txt - Збережіть файл на робочому столі
6. Потім перетягніть CFScript (утримуючи ліву кнопку миші під час перетягування файлу) і Drop It (відпустіть ліву кнопку миші) в ComboFix.exe як ви бачите на скріншоті нижче. Важливо: Виконати цю інструкцію уважно!

ComboFix почне виконувати, просто виконайте інструкції на екрані.
Після перезавантаження (у випадку вона просить перезавантаження), це приведе журнал для вас.
Пост ", що журнал (Combofix.txt) у Ваш таку відповідь.

Примітка: Чи не MouseClick вікна ComboFix's під час його роботи. Це може викликати припинення роботи системи

teddynicholas · #5 16 вересня 2008, 15:32

ComboFix 08-09-15.02 - Тедді 2008-09-16 17:49:20.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.850 [GMT -4:00]
Running From: C: \ Documents і Settings \ Тедді \ Desktop \ ComboFix.exe
Командного рядка використовувати:: C: \ Documents і Settings \ Тедді \ Desktop \ CFScript.txt
* Створена нова точка відновлення

ЦЕ ПОПЕРЕДЖЕННЯ-машина не має ВІДНОВЛЕННЯ консолі, встановленої!
.

((((((((((((((((((((((((((((((((((((((( Інших Виключені ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ WINDOWS \ system32 \ bsc32.dll
C: \ WINDOWS \ system32 \ LSASSMGR.EXE
C: \ WINDOWS \ system32 \ LSSMON.EXE
C: \ WINDOWS \ system32 \ mssc32.dll
C: \ WINDOWS \ system32 \ msupd32.exe
C: \ WINDOWS \ system32 \ spool.exe
C: \ WINDOWS \ system32 \ srtsrv32.exe
C: \ WINDOWS \ system32 \ upd01.exe

.
((((((((((((((((((((((((( Фото, створених з 2008-08-16 до 2008-09-16 ))))))))))) ))))))))))))))))))))
.

2008-09-16 16:21. 2008-09-16 16:50 <DIR> D -------- C: \ WINDOWS \ system32 \ CatRoot_bak
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ ITunes
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Program Files \ IPod
2008-09-13 13:19. 2008-09-13 13:19 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ () 3276BE95_AF08_429F_A64F_CA64CB79BCF6
2008-09-13 13:12. 2008-09-13 13:16 <DIR> D -------- C: \ Program Files \ Common Files \ Apple
2008-09-08 16:10. 2008-09-08 16:10 <DIR> D -------- C: \ Program Files \ Easy SpyRemover
2008-09-07 22:34. 2008-09-02 00:16 38528 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbamswissarmy.sys
2008-09-07 22:33. 2008-09-07 22:34 <DIR> D -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents і Settings \ Тедді \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-07 22:33 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ Malwarebytes
2008-09-07 22:33. 2008-09-02 00:16 17200 - ------ C: \ WINDOWS \ System32 \ Drivers \ mbam.sys
2008-09-06 15:09. 2008-09-06 15:09 90112 - ------ C: \ WINDOWS \ system32 \ QuickTimeVR.qtx
2008-09-06 15:09. 2008-09-06 15:09 57344 - ------ C: \ WINDOWS \ system32 \ QuickTime.qts
2008-09-04 21:59. 2008-09-06 00:59 741376 - ------ C: \ WINDOWS \ divx32.dll
2008-09-02 13:23. 2008-09-02 13:23 <DIR> D -------- C: \ Program Files \ PrevxCSI
2008-09-02 13:23. 2008-09-16 13:32 <DIR> D -------- C: \ Documents і Settings \ All Users \ Application Data \ PrevxCSI
2008-09-02 13:23. 2008-09-02 13:23 17408 - ------ C: \ WINDOWS \ System32 \ Drivers \ pxark.sys
2008-09-01 01:30. 2008-09-02 13:10 <DIR> та ------ C: \ Documents і Settings \ All Users \ Application Data \ TEMP
2008-09-01 01:20. 2008-09-07 22:19 0 - ------ C: \ WINDOWS \ system32 \ sc02.sc
2008-08-31 01:46. 2007-02-20 16:04 2463976 - ------ C: \ WINDOWS \ system32 \ NPSWF32.dll
2008-08-31 01:46. 2007-02-20 16:04 190696 - ------ C: \ WINDOWS \ system32 \ NPSWF32_FlashUtil.exe
2008-08-30 09:59. 2008-08-30 21:34 <DIR> D -------- C: \ Program Files \ Macromedia
2008-08-30 09:59. 2008-08-30 21:27 <DIR> D -------- C: \ Program Files \ Common Files \ Macromedia
2008-08-30 01:25. 2008-09-13 13:18 <DIR> D -------- C: \ Program Files \ Bonjour
2008-08-29 14:33. 2006-09-18 17:55 109744 - ------ C: \ WINDOWS \ System32 \ Drivers \ Symevent.sys
2008-08-29 14:33. 2006-09-18 17:55 48816 - ------ C: \ WINDOWS \ system32 \ S32EVNT1.DLL
2008-08-29 10:18. 2008-08-29 10:18 87336 - ------ C: \ WINDOWS \ System32 \ DNS-SD.EXE
2008-08-29 09:53. 2008-08-29 09:53 61440 - ------ C: \ WINDOWS \ system32 \ dnssd.dll
2008-08-27 04:05. 2008-04-07 05:38 45392-ра ------ C: \ WINDOWS \ system32 \ AdobePDF.dll
2008-08-27 04:05. 2008-04-07 05:38 22872-ра ------ C: \ WINDOWS \ system32 \ AdobePDFUI.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-16 21:33 --------- D ----- W C: \ Program Files \ Symantec AntiVirus
2008-09-13 17:17 --------- D ----- W C: \ Program Files \
2008-09-13 17:13 --------- D ----- W C: \ Program Files \ Apple Software Update
2008-09-01 07:50 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2008-09-01 05:56 --------- D ----- W C: \ Program Files \ Spybot - Search & Destroy
2008-08-30 05:24 --------- D ----- W C: \ Program Files \ Common Files \ Adobe
2008-08-29 18:34 --------- D ----- W C: \ Program Files \ Common Files \ Symantec Загальні
2008-08-29 18:33 --------- D ----- W C: \ Program Files \ Symantec
2008-08-29 18:32 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ Symantec
2008-08-27 08:22 --------- D ----- W C: \ Documents і Settings \ All Users \ Application Data \ FLEXnet
2008-08-26 00:52 --------- D ----- W C: \ Documents і Settings \ Тедді \ Application Data \ openoffice.org2
2008-08-13 21:33 --------- D ----- W C: \ Program Files \ Microsoft Silverlight
2008-08-12 02:46 --------- D ----- W C: \ Program Files \ PHM
2008-07-26 08:55 --------- D ----- W C: \ Program Files \ OpenOffice.org 2.4
2008-07-26 08:54 --------- D ----- W C: \ Program Files \ Java
2008-04-19 16:57 32 ---- AW C: \ Documents і Settings \ All Users \ Application Data \ ezsid.dat
.

((((((((((((((((((((((((((((( Snapshot@2008-09-16_17.03.48.82 )))))))))) )))))))))))))))))))))))))))))))
.
- 2007-07-30 23:18:40 33624-C - AW C: \ WINDOWS \ System32 \ Dllcache \ wups.dll
+ 2008-07-19 02:10:20 36552-C - AW C: \ WINDOWS \ System32 \ Dllcache \ wups.dll
- 2007-07-30 23:18:40 33624 ---- AW C: \ WINDOWS \ system32 \ wups.dll
+ 2008-07-19 02:10:20 36552 ---- AW C: \ WINDOWS \ system32 \ wups.dll
- 2007-07-30 23:19:12 43352 ---- AW C: \ WINDOWS \ system32 \ Wups2.dll
+ 2008-07-19 02:10:40 45768 ---- AW C: \ WINDOWS \ system32 \ Wups2.dll
.
((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Курре NTVERSION \ Run]
"SWG" = "C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe" [2007-04-02 68856]
"QuickTime Task" = "C: \ Program Files \ \ qttask.exe" [2008-09-06 413696]
"H / PC Connection агент" = "C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe" [2006-11-13 1289000]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 15360]
"IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" [2008-02-28 1828136]
"SpybotSD TeaTimer" = "C: \ Program Files \ Spybot - Search & Destroy \ teatimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"RemoteControl" = "C: \ Program Files \ Common Files \ PowerDVD \ PDVDServ.exe" [2004-05-14 32768]
"RoxioEngineUtility" = "C: \ Program Files \ Common Files \ Roxio Загальні \ SYSTEM \ EngUtil.exe" [2003-05-01 65536]
"RoxioAudioCentral" = "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe" [2003-07-15 319488]
"НВС Windows KeyHook" = "C: \ WINDOWS \ system32 \ keyhook.exe" [2004-09-02 249856]
"SiSUSBRG" = "C: \ WINDOWS \ SiSUSBrg.exe" [2004-09-22 106496]
"Apoint" = "C: \ Program Files \ Apoint2K \ Apoint.exe" [2003-12-05 159744]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" [2008-06-10 144784]
"DSFHost" = "C: \ Program Files \ Staples \ EasyPrint \ dsfhost.exe" [2006-01-05 2142301]
"Синхронізація Manager" = "C: \ WINDOWS \ system32 \ mobsync.exe" [2004-08-04 143360]
"Zune Launcher" = "C: \ Program Files \ Zune \ ZuneLauncher.exe" [2007-03-14 24104]
"GrooveMonitor" = "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe" [2006-10-27 31016]
"Adobe Reader Speed Launcher" = "C: \ Program Files \ Reader 8.0 \ Reader \ Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck" = "C: \ Program Files \ Common Files \ Nero \ Lib \ NvCpl.dll, NvStartup" [2008-02-28 570664]
"NBKeyScan" = "C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBKeyScan.exe" [2008-02-18 2221352]
"Adobe Acrobat Speed Launcher" = "C: \ Program Files \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe" [2008-06-12 37232]
"ccApp" = "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe" [2006-07-19 52896]
"vptray" = "C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe" [2006-09-27 125168]
"iTunesHelper" = "C: \ Program Files \ ITunes \ iTunesHelper.exe" [2008-09-10 289576]
"CSRLT.EXE" = "C: \ WINDOWS \ system32 \ CSRLT.EXE" [BU]
"Звукорежисер" = "SOUNDMAN.EXE" [2004-09-22 C: \ WINDOWS \ SOUNDMAN.EXE]
"AGRSMMSG" = "AGRSMMSG.exe" [2004-09-22 C: \ WINDOWS \ AGRSMMSG.exe]
"SiSPower" = "SiSPower.dll" [2004-09-22 C: \ WINDOWS \ system32 \ SiSPower.dll]

C: \ Documents і Settings \ Тедді \ Start Menu \ Programs \ Startup \
Adobe Gamma.lnk - C: \ Program Files \ Common Files \ Калібрування \ Adobe Gamma Loader.exe [2005-03-16 113664]
OneNote 2007 Екран "Кліпер" і Launcher.lnk - C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE [2006-10-26 98632]

C: \ Documents і Settings \ All Users \ Start Menu \ Programs \ Startup \
Search.lnk робочий стіл Windows - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2007-02-05 118784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ ShellExecuteHooks]
"(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]
"AppInit_DLLs" = acaptuser32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ файл образу виконання Options \ firefox.exe]
"Debugger" = C: \ Program Files \ Mozilla Firefox \ firefoxe.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ SymantecAntiVirus]
"DisableMonitoring" = DWORD: 00000001

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% WINDIR% \ \ system32 \ \ Sessmgr.exe" =
"C: \ \ Program Files \ \ Common Files \ \ AOL \ \ Навантажувачі \ \ aolload.exe" =
"C: \ \ Program Files \ \ BitLord \ \ BitLord.exe" =
"C: \ \ Program Files \ \ Soulseek \ \ slsk.exe" =
"C: \ \ Program Files \ \ Mozilla Firefox \ \ firefox.exe" =
"C: \ \ StubInstaller.exe" =
"C: \ \ Program Files \ \ LimeWire \ \ LimeWire.exe" =
"% WINDIR% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"C: \ \ Program Files \ \ AIM \ \ aim.exe" =
"C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ rapimgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync RAPI менеджер
"C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe" = C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Connection Manager
"C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe" = C: \ Program Files \ Microsoft ActiveSync \ WCESMgr.exe: 169.254.2.0/255.255.255.0: Enabled: ActiveSync Застосування
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ OUTLOOK.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ GROOVE.EXE" =
"C: \ \ Program Files \ \ Microsoft Office \ \ Office12 \ \ Onenote.exe" =
"C: \ Program Files \ \ Айседора \ \ isadora.exe" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =
"C: \ \ Program Files \ \ ITunes \ \ itunes.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009
"1500: TCP" = 1500: TCP: Безпечний доступ Агент порт
"26675: TCP" = 26675: TCP: 169.254.2.0/255.255.255.0: Enabled: ActiveSync служби

R0 pxark; pxark C: \ WINDOWS \ System32 \ Drivers \ pxark.sys [2008-09-02 17408]
R2 CSIScanner; CSIScanner C: \ Program Files \ PrevxCSI \ prevxcsi.exe [2008-09-02 618040]
R2 SafeAccessAgent; безпечного доступу агента C: \ Program Files \ StillSecure \ безпечний доступ Agent \ SAService.exe [2006-01-27 880640]
R2 точки зору менеджера служби; точки зору менеджера служби; C: \ Program Files \ Точка зору \ Common \ ViewpointService.exe [2007-01-04 24652]
S3 HwIOctl; HwIOctl C: \ Documents і Settings \ Owner \ Desktop \ HwIOctl.sys []
S3 Ktp3; Elantech сенсорної панелі (KTP3), C: \ WINDOWS \ system32 \ DRIVERS \ Ktp3.sy S [2004-09-22 24704]
S3 Memctl; Memctl C: \ Documents і Settings \ Owner \ Desktop \ Memctl.sys []
.
Вміст папки "Призначені завдання" '
.
- - - - Сиріт REMOVED - - - --

HKLM-Run-Layersecurity Servicemonitor - C: \ WINDOWS \ system32 \ LSSMON.EXE
HKLM-RunOnce-MSBLT.EXE - C: \ WINDOWS \ MSBLT.EXE

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-09-16 18:00:27
Windows 5.1.2600 Service Pack 2 NTFS

Сканування приховані процеси ...

Сканування приховані Autostart записів ...

Сканування приховані файли ...

************************************************** ************************
.
------------------------ Інші процеси, запущені ----------------------- --
.
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ AluSchedulerSvc.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBService.exe
C: \ WINDOWS \ system32 \ IoctlSvc.exe
C: \ WINDOWS \ system32 \ MsPMSPSv.exe
C: \ WINDOWS \ system32 \ searchindexer.exe
C: \ Program Files \ Точка зору \ Точка зору Manager \ ViewMgr.exe
C: \ WINDOWS \ system32 \ rundll32.exe
C: \ PROGRA ~ 1 \ MICROS ~ 3 \ rapimgr.exe
C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ Playlist.exe
C: \ Program Files \ Apoint2K \ ApntEx.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ IPod \ Bin \ iPodService.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe
C: \ WINDOWS \ system32 \ searchfilterhost.exe
.
************************************************** ************************
.
Була перезавантажена Час завершення: 2008-09-16 18:24:56 - машина
ComboFix-карантин-files.txt 2008-09-16 22:23:49
ComboFix2.txt 2008-09-16 21:16:14

Попередньо Run: 10626510848 байт вільно
Після Run: 10616803328 байт вільно

205 --- --- EOF 2008-09-11 20:07:51

**evilfantasy** · #6 16 вересня 2008, 15:50

Завантаження TrendMicro HijackThis.exe (HJT) на робочому столі.

Двічі клацніть на HJTInstall.
Натисніть на Встановити кнопки.
Вона буде автоматично помістить в HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
Після установки, HijackThis має відкрити для вас.
Натисніть на Виконайте перевірку системи і зберігати в лог-файл Кнопка
HijackThis буде сканувати, а потім увійти відкриється в блокноті.
Скопіюйте та вставте весь зміст увійти Ваше повідомлення.
Чи не є HijackThis виправити що-небудь ще. Більшість вважає, що він буде нешкідливим або навіть потрібно.

teddynicholas · #7 23 вересня 2008, 09:24

Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 12:21:04 PM, за 9/23/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot Mode: Normal

Запущені процеси:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBService.exe
C: \ WINDOWS \ system32 \ IoctlSvc.exe
C: \ Program Files \ StillSecure \ безпечний доступ Agent \ SAService.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Точка зору \ Common \ ViewpointService.exe
C: \ WINDOWS \ system32 \ MsPMSPSv.exe
C: \ WINDOWS \ system32 \ SearchIndexer.exe
C: \ WINDOWS \ explorer.exe
C: \ Program Files \ PrevxCSI \ prevxcsi.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Common Files \ PowerDVD \ PDVDServ.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ WINDOWS \ system32 \ keyhook.exe
C: \ Program Files \ Apoint2K \ Apoint.exe
C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe
C: \ Program Files \ Staples \ EasyPrint \ dsfhost.exe
C: \ Program Files \ Zune \ ZuneLauncher.exe
C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe
C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe
C: \ Program Files \ ITunes \ iTunesHelper.exe
C: \ Program Files \ Apoint2K \ Apntex.exe
C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe
C: \ PROGRA ~ 1 \ MICROS ~ 3 \ rapimgr.exe
C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
C: \ Program Files \ IPod \ Bin \ iPodService.exe
C: \ Program Files \ Точка зору \ Точка зору Manager \ ViewMgr.exe
C: \ Program Files \ Acrobat 9.0 \ Acrobat \ AcroTray.exe
C: \ Program Files \ Common Files \ Macrovision Загальні \ FLEXnet Видавець \ FNPLicensingService.exe
C: \ WINDOWS \ system32 \ taskmgr.exe
C: \ WINDOWS \ lsass.exe
C: \ WINDOWS \ system32 \ SPOOLER.EXE
C: \ WINDOWS \ system32 \ wscntfy.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe
C: \ WINDOWS \ system32 \ SearchProtocolHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.averatec.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, пошук Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Internet Connection Wizard, ShellNext = http://oqaserver-a/
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Settings Int ernet, ProxyOverride = *. місцевих
O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ WINDOWS \ ВПП \ yt.dll
O2 - BHO: Adobe PDF Reader Посилання Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - (18DF081C-E8AD-4283-A596-FA578C2EBDC3) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEHelperShim.dll
O2 - BHO: Spybot-S & D наприклад, захист - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - (72853161-30C5-4D22-B7F9-0BBC1D38A37E) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ GRA8E1 ~ 1.dll
O2 - BHO: SSVHelper клас - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O2 - BHO: AOL Toolbar Launcher - (7C554162-8CB7-45A4-B8F4-8EA1C75885F9) - C: \ Program Files \ AOL \ AOL Toolbar 2.0 \ aoltb.dll
O2 - BHO: погляд інструментів BHO - (A7327C09-B521-4EDB-8509-7D2660C9EC98) - C: \ Program Files \ Точка зору \ Точка зору Toolbar \ 3.8.0 \ ViewBarBHO.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - C: \ Program Files \ Google \ GoogleToolbar2.dll
O2 - BHO: Adobe PDF Конверсія Toolbar Helper - (AE7CD045-E861-484f-8273-0445EE161910) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O2 - BHO: Панель інструментів Google Notifier BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 3.1.807.1746 \ SW g.dll
O2 - BHO: SmartSelect - (F4971EE7-DAA0-4053-9964-665D8EE6A077) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ WINDOWS \ ВПП \ yt.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - C: \ Program Files \ Google \ GoogleToolbar2.dll
O3 - Toolbar: AOL Toolbar - (DE9C389F-3316-41A7-809B-AA305ED9D922) - C: \ Program Files \ AOL \ AOL Toolbar 2.0 \ aoltb.dll
O3 - Toolbar: погляд Toolbar - (F8AD5AA5-D966-4667-9DAF-2561D68B2012) - C: \ Program Files \ Common Files \ Точка зору \ Toolbar Час перегляду \ 3.8.0 \ IEViewBar.dll
O3 - Toolbar: Adobe PDF - (47833539-D0C5-4125-9FA8-0819E2EAAC93) - C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll
O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ Common Files \ PowerDVD \ PDVDServ.exe"
O4 - HKLM \ .. \ Run: [RoxioEngineUtility] "C: \ Program Files \ Common Files \ Roxio Загальні \ SYSTEM \ EngUtil.exe"
O4 - HKLM \ .. \ Run: [RoxioAudioCentral] "C: \ Program Files \ Roxio \ Easy CD Creator 6 \ AudioCentral \ RxMon.exe"
O4 - HKLM \ .. \ Run: [звукооператора] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [NeroFilterCheck] AGRSMMSG.exe
O4 - HKLM \ .. \ Run: [SiSPower] RUNDLL32.EXE SiSPower.dll, ModeAgent
O4 - HKLM \ .. \ Run: [SiS Windows KeyHook] C: \ WINDOWS \ system32 \ keyhook.exe
O4 - HKLM \ .. \ Run: [SiSUSBRG] C: \ WINDOWS \ SiSUSBrg.exe
O4 - HKLM \ .. \ Run: [Apoint] C: \ Program Files \ Apoint2K \ Apoint.exe
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe "
O4 - HKLM \ .. \ Run: [DSFHost] C: \ Program Files \ Staples \ EasyPrint \ dsfhost.exe
O4 - HKLM \ .. \ Run: [Диспетчер синхронізації]% SystemRoot% \ system32 \ mobsync.exe / Logon
O4 - HKLM \ .. \ Run: [Zune] C: \ Program Files \ Zune \ ZuneLauncher.exe "
O4 - HKLM \ .. \ Run: [GrooveMonitor] "C: \ Program Files \ Microsoft Office \ Office12 \ GrooveMonitor.exe"
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKLM \ .. \ Run: [ICQ Lite] C: \ Program Files \ Common Files \ Nero \ Lib \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [NBKeyScan] "C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBKeyScan.exe"
O4 - HKLM \ .. \ Run: [Adobe Acrobat Speed Launcher] "C: \ Program Files \ Acrobat 9.0 \ Acrobat \ Acrobat_sl.exe"
O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Загальні \ ccApp.exe"
O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ VPTray.exe
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ ITunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [Layersecurity Servicemonitor] C: \ WINDOWS \ system32 \ LSSMON.EXE
O4 - HKLM \ .. \ Run: [Диспетчер черги друку] C: \ WINDOWS \ system32 \ SPOOLER.EXE
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [H / PC Connection Agent] "C: \ Program Files \ Microsoft ActiveSync \ Wcescomm.exe"
O4 - HKLM \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKLM \ .. \ Run: [IndxStoreSvr_ (79662E04-7C6C-4d9f-84C7-88D8A56B10AA)] "C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F -39A1E5104020
O4 - HKLM \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search & Destroy \ teatimer.exe
O4 - HKLM \ .. \ Run: [AdobeUpdater] C: \ Program Files \ Common Files \ Updater \ AdobeUpdater.exe
O4 - HKLM \ .. \ Policies \ Explorer \ Run: [LocalSecurityAuthoritySubsystem] C: \ WINDOWS \ lsass.exe
O4 - Startup: Adobe Gamma.lnk = C: \ Program Files \ Common Files \ Калібрування \ Adobe Gamma Loader.exe
O4 - Startup: OneNote 2007 Екран "Кліпер" і Launcher.lnk = C: \ Program Files \ Microsoft Office \ Office12 \ ONENOTEM.EXE
O4 - Startup: Windows Desktop Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe
O8 - Додатковий пункт контекстного меню: & AOL Toolbar Пошук - C: \ Program Files \ AOL \ AOL Toolbar 2.0 \ Resources \ EN-US \ Local \ search.html
O8 - Додатковий пункт контекстного меню: Додавання посилання Цільова до існуючих PDF - Res: / / C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppendSelLinks.html
O8 - Додатковий пункт контекстного меню: додати до існуючого PDF - Res: / / C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIEAppend.html
O8 - Додатковий пункт контекстного меню: Перетворити цільове посилання в Adobe PDF - Res: / / C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECaptureSelLinks.html
O8 - Додатковий пункт контекстного меню: Перетворити на Adobe PDF - Res: / / C: \ Program Files \ Common Files \ Acrobat \ ActiveX \ AcroIEFavClient.dll / AcroIECapture.html
O8 - Додатковий пункт контекстного меню: E & Експорт в Microsoft Excel - Res: / / C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ EXCEL.EXE/3000
O9 - Додаткові кнопки: (без назви) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O9 - Сервіс "MENUITEM Extra ': Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll
O9 - Додаткові кнопки: Відправити в OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Сервіс "MENUITEM Extra ': S & кінець OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ ONBttnIE.dll
O9 - Додаткові кнопки: Створення мобільних Favorite - (2EAF5BB1-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Додаткові кнопки: (без назви) - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Сервіс "MENUITEM Extra ': Створення мобільних Улюблений ... - (2EAF5BB2-070F-11D3-9307-00C04FAE2D4F) - C: \ PROGRA ~ 1 \ MICROS ~ 3 \ INetRepl.dll
O9 - Додаткові кнопки: AOL Toolbar - (3369AF0D-62E9-4bda-8103-B4C75499B578) - C: \ Program Files \ AOL \ AOL Toolbar 2.0 \ aoltb.dll
O9 - Додаткові кнопки: Дослідження - (92780B25-18cc-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ MIC273 ~ 1 \ Office12 \ REFIEBAR.DLL
O9 - Додаткові кнопки: AIM - (AC9E2541-2814-11d5-BC6D-00B0D0A1DE45) - C: \ Program Files \ AIM \ aim.exe
O9 - Додаткові кнопки: (без назви) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Сервіс "MENUITEM Extra ': Spybot - Search & Destroy Конфігурація - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Додаткові кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL = http://www.averatec.com
O16 - DPF: (0D6BB8B8-0257-420C-B9EB-CFA90DB1026C) -- http://svrnsec01.purchase.edu:88/setup.cab
O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl клас) -- http://v5.windowsupdate.microsoft.co...?1096453339343
O18 - Protocol: grooveLocalGWS - (88FED34C-F0CA-4636-A375-3CB6248B04CD) - C: \ PROGRA ~ 1 \ MICROS ~ 4 \ Office12 \ GR99D3 ~ 1.dll
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ PROGRA ~ 1 \ COMMON ~ 1 \ Skype \ SKYPE4 ~ 1.dll
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Ad-Aware 2007 обслуговування (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Adobe Л.М. служби - Adobe Systems - C: \ Program Files \ Common Files \ Adobe Systems Загальні \ Service \ Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Корпорація Apple - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: автоматичні планувальник LiveUpdate - Symantec Corporation - C: \ Program Files \ Symantec \ LiveUpdate \ ALUSchedulerSvc.exe
O23 - Service: Bonjour Сервіс - Корпорація Apple - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccEvtMgr.exe
O23 - Service: Symantec налаштування Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ ccSetMgr.exe
O23 - Service: CSIScanner - Prevx - C: \ Program Files \ PrevxCSI \ prevxcsi.exe
O23 - Service: Symantec AntiVirus Визначення Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe
O23 - Service: FLEXnet Служба ліцензування - Macrovision Європа ТОВ - C: \ Program Files \ Common Files \ Macrovision Загальні \ FLEXnet Видавець \ FNPLicensingService.exe
O23 - Service: Служба Програми оновлень Google (gusvc) - Google - C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: Table Manager (IDriverT) - Корпорація Майкрософт - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: Ipod послуг - Корпорація Apple - C: \ Program Files \ IPod \ Bin \ iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: Планувальник Nero BackItUp 3 - Nero AG - C: \ Program Files \ Nero \ NERO8 \ Nero BackItUp \ NBService.exe
O23 - Service: NMIndexingService - Nero AG - C: \ Program Files \ Common Files \ Nero \ Lib \ NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl послуг - Prolific Technology вкл. - C: \ WINDOWS \ system32 \ IoctlSvc.exe
O23 - Service: Безпечний доступ Агент (SafeAccessAgent) - StillSecure - C: \ Program Files \ StillSecure \ безпечний доступ Agent \ SAService.exe
O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe
O23 - Service: Symantec Network Драйвери обслуговування (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ SPBBC \ SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe
O23 - Service: SymWMI обслуговування (SymWSC) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Загальні \ Security Центр \ SymWSC.exe
O23 - Service: погляд менеджера служби - Точка зору - C: \ Program Files \ Точка зору \ Common \ ViewpointService.exe

--
Кінець файлу - 14719 байт

**evilfantasy** · #8 23 вересня 2008, 10:25

Завантаження Malwarebytes 'Anti-Malware (MBAM)

Двічі клацніть mbam-setup.exe і дотримуйтесь інструкцій, щоб встановити програму.
Врешті-решт, бути впевнені, галочка стоїть в безпосередній близькості до наступного:
- Оновлення Malwarebytes 'Anti-Malware
- Ракета Malwarebytes 'Anti-Malware
Потім натисніть Готово.
У разі виявлення оновлень, вона буде завантажити і встановити останню версію.
Після того як програма завантажиться, виберіть Виконати швидке сканування, Потім натисніть Сканування.
Коли сканування завершено, натисніть кнопку OK, Потім Показати результати Для перегляду результатів.
Будьте впевнені, що все перевіряється, і натисніть Видалити вибрані.
Після завершення дезінфекції, журнал буде відкритий в Блокноті і Вам може бути запропоновано перезавантажити. (Див. Додаткова примітка)
У журналі зберігається автоматично за MBAM і можуть бути переглянуті, вибравши вкладку Журнал в MBAM.
Копіювати та вставити весь звіт в наступному відповіді.

Додаткова Примітка: Якщо MBAM зустрічає файлів, які важко видалити, вам буде представлений з 1 по 2 підказками, натисніть кнопку ОК або, і нехай MBAM приступити до процесу дезінфекції, якщо запит на перезавантаження комп'ютера, будь-ласка, зробіть це негайно.

----------

Тепер запускаємо новий HijackThis сканування і посаду увійти разом з журналом MBAM.

Різьба Інструменти
Показати Версія для друку Послати сторінку