Vakavia Adware Problem

**Psychaospath** · #1 21 tammikuu 2008, 20:16

Minulla on vakava ongelma. Ive sai jonkinlaisen adware Omassa tietokoneessa. Kun Im surfing, tai on vain minun selaimen auki, popup tulee pop-up välein 2-3 minuuttia. Ive yrittänyt käyttää AVG Anti-Virus, AVG Anti-Spyware, CounterSpy ja Bazooka Scanner.

Ne kaikki löydetyt tonnia asioita, i got eroon kaikista niistä, i skannattu uudelleen, kaikki poissa. Lukuun ottamatta aivan muutamaa TrackingCookies, mutta se ei saisi adware ongelma. Nämä ovat suppost on paras ohjelmia.

Mitään ehdotuksia mitä minun tarvitsee käyttää tai mitä minun pitäisi tehdä?

**evilfantasy** · #2 21 tammikuu 2008, 20:34

Eiköhän oteta tarkemmin.

Lataa ja nimetä HijackThis (HJT)

Kaksoisnapsauta HJTInstall.
Klikkaa Asenna painiketta.
Se automaattisesti HJT vuonna C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
Kun asentaa, HijackThis pitäisi avata sinulle.
- Sulje HijackThis ja nimetä se.
- Siirry C: \ Program Files \ Trend Micro \HijackThis.exe
- Napsauta hiiren kakkospainikkeella HijackThis.exe ja valitse Nimeä.
- Kirjoita sniper.exe ja paina Anna.
- Napsauta hiiren kakkospainikkeella päällä sniper.exe ja valitse Lähetä > Desktop (luo pikakuvake)
From työpöydällä avoinna HiajckThis.
Jos käytät Windows Vistaa, varmista, että Suorita järjestelmänvalvojana
Klikkaa Onko järjestelmä skannaa ja tallentaa lokitiedoston painiketta
HijackThis tarkistaa ja sen jälkeen loki avautuu muistioon.
Kopioi ja liitä kirjautua blogitekstiisi.
- Älä on Hijackthis vahvistaa mitään vielä. Suurin osa siitä, mitä se havaitsee on harmittomia tai jopa vaaditaan.

Vaikka meillä on uudelleennimetty HijackThis että ampuja, me vielä viitata se HijackThis tai HJT.

**Psychaospath** · #3 21 tammikuu 2008, 20:50

Logfile ja Trend Micro HijackThis v2.0.2
Scan tallennettu klo 10:50:07 PM, annettu 1.21.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Käynnissä olevista prosesseista:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ Winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ Lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ system32 \ Svchost.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ Ctfmon.exe
C: \ Program Files \ Daemon Tools \ daemon.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / Käynnistysmerkinnät
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / pienenä
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [Daemon Tools] "C: \ Program Files \ Daemon Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Hakulaite] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe"-quiet
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra button: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: ShopperReports - Vertaa tuotteiden hintoihin - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Vertaa matkustaa hinnat - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (file missing)
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Invite) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati Pikanäppäin Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21 tammikuu 2008, 20:59

Se ei paljastunut paljon, meidän täytyy tehdä perusteellisempi skannaa.

Muutama tyhjä merkinnät vahvistaa kanssa HJT todella nopeasti.

Avaa HijackThis ja valitse Tee järjestelmän tarkistus vain.

Aseta valintamerkki vieressä seuraavista merkinnöistä:

O9 - Extra button: ShopperReports - Vertaa tuotteiden hintoihin - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (file missing)
O9 - Extra button: ShopperReports - Vertaa matkustaa hinnat - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (file missing)

Sulje kaikki ikkunat lukuun ottamatta HijackThis ja napsauta Korjaa tarkastetaan.

Poistu Hijackthis.

---------

Ladata CCleaner

On ehdotettu, lataa CCleaner - Slim -- N: o Toolbar joka on versio ilman Yahoo! Työkalupalkkia.

Double klikkaa ccsetup.exe tiedosto Käynnistä asennus ohjelma.
Valitse kieli ja valitse sitten OK, Sitten seuraava.
Lue käyttöoikeussopimus ja valitse Hyväksyn.
Valitse seuraava käyttää oletusarvoisesti asentaa paikkaan.
Alle Asenna Valinnat valita kaikki oletusasetukset
Valitse Asenna sitten Maali jotta asennus.
Tuplaklikkaa CCleaner pikakuvaketta työpöydältä käynnistää ohjelman.
Aiheesta "Windows"-välilehti, kohdassa "Internet Explorer," poista "Cookies", jos et halua niitä poistetaan. (Jos poistettu, et todennäköisesti tarvitse uudelleen salasanat lainkaan sivustot, joissa evästettä käytetään tunnistaa, kun vierailu).
Jos käytät joko Firefox tai Mozilla-pohjaisten selainten, ruutuun poista varten "Cookies" on Sovellukset-välilehdessä mukaisesti Firefox / Mozilla.
Klikkaa "Asetukset" kuvaketta vasemmalla puolella on ikkuna, valitse "Lisäasetukset".
poista "Vain poistaa Windows Temp kansioissa yli 48 tuntia."
Klikkaa "Cleaner" kuvaketta vasemmalla puolella on ikkuna, valitse Suorita Puhtaammat ohjelman suorittamiseen.
Varoitus: Käyttää vain "Rekisteri" toimintoa, jos olet hyvin perehtynyt rekisterin, koska se on ollut tiedossa löytää oikeutettuja kohteita.
Aina back up your rekisterin ennen muuttamatta.
Jälkeen CCleaner on saattanut päätökseen prosessin, napsauta Poistu.

----------

Ladata SUPERAntispyware Free Edition (SAS)

Kaksoisnapsauta kuvaketta työpöydällä suorittaa installer.
Kun pyydetään Päivittää ohjelman määritelmiä, napsauta Kyllä
Seuraava napsauttamalla Asetukset painiketta.
Napsauta Scanning Control välilehti.
Alle Scanner Valinnat Varmista vain seuraavat on valittu:
- Sulje selaimet ennen skannauksen
- Scan for tracking cookies
- Terminate muisti uhat ennen karanteeniin
- Jätä muut valinnat.
- Napsauta Sulje-painiketta lähteä tarkastuskeskuksesta näytöllä.
Napsauta Sulje painiketta jättää tarkastuskeskuksesta näytöllä.
Käytössä pääikkunassa napsauta Tarkista tietokoneesi
Vasemmalla tarkistaa C: \ Kiinteä Drive
Oikealla puolella valita Suorittaa Complete Scan
Valitse Seuraava indeksoinnin aloittamiseen. Ole kärsivällinen, kun se skannaa tietokoneeseen.
Kun tarkistus on valmis yhteenveto ruutuun tulee näkyviin. Valitse OK
Varmista, että kaiken valkoisen laatikon on tarkistaa sen vieressä, ja valitse sitten Seuraava
Se karanteeni, mitä se löytyy ja jos se kysyy, haluatko reboot, napsauta Kyllä
Voit hakea poistamistiedot tee seuraavasti:
- Kun käynnistät kaksoisnapsauttamalla SUPERAntiSpyware kuvaketta työpöydällä.
- Valitse Asetukset. Napsauta Tilastotiede / Logs välilehti.
- Alle Scanner Lokit, kaksoisnapsauta SUPERAntiSpyware Scan Loki.
- Se avautuu oletusmuokkaimena tekstieditorissa (kuten Muistiossa / Wordpad).
- Tallenna notepad tiedosto työpöydälle valitsemalla (Muistio) Tiedosto > Tallenna nimellä...
Tallenna loki jonnekin voit helposti löytää. (yleensä työpöydällä)
Valitse Sulje ja sulje uudelleen poistuaksesi ohjelmasta.
Kopioi ja liitä sitten kirjautua blogitekstisi.

----------

Seuraava post lisää
SuperantiSpyware log

**Psychaospath** · #5 21 tammikuu 2008, 22:20

ok i vihdoin sain sen tehdä, mutta .... ponnahdusikkunat edelleen täällä, anyways heres loki:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Muodostettu 01.22.2008 klo 00:10

Application Version: 3.9.1008

Core Rules Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Complete Scan
Total Scan Time: 00:48:33

Muisti erät skannattu: 556
Muisti uhkia havaittu: 0
Rekisterin kohteita skannattavan: 4213
Rekisterin uhkia havaittu: 0
Tiedoston kohteita skannattavan: 39567
Tiedoston uhkia havaittu: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ DoubleClickin [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21 tammikuu 2008, 22:23

Tämä skannaus vie noin 5-10 minuuttia.

Ole hyvä ja lataa Combofix jonka Subs jonkin alle linkkejä.
(Yritä kaikki kolme tarvittaessa)

TÄRKEÄÄ - Combofix.exe MUST olla tallennetaan teidän Desktop.

Sulje kaikki avoimet Internet-selaimissa. (Firefox, Internet Explorer jne.)
Sulje / pois kaikki anti-virus ja anti haittaohjelmien ohjelmat joten ne eivät häiritse Combofix. <- TÄRKEÄÄ
- Valitse linkki nähdä luettelon ohjelmista, jotka olisi pois päältä. Jos koneesi ei ole luettelossa ja et tiedä miten sen pois, kysy.
Kaksoisnapsauta combofix.exe ja seuraa ohjeita.
- From näppäimistön valitse 1 ja paina Anna
Kun olet valmis, se tuottaa lokin sinulle.
Post, että kirjaudut sisään seuraavan vastauksen.

Älä mouseclick combofix n ikkunan ollessa käynnissä.
Tarkistus poistetaan tilapäisesti käytöstä työpöydälle.
Jos keskeyttää se voi jättää tietokone jäädytetään.
Jos näin tapahtuu, ole hyvä ja uudelleenkäynnistä palauttaa työpöydälle.

Seuraava post
Combofix log

**Psychaospath** · #7 21 tammikuu 2008, 22:48

ok teki sen. mutta ive vielä saanut ponnahdusikkunat :-( Heres loki:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Running from: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Luonut uuden palautuspisteen
VAROITUS-Tämä kone ei ole RECOVERY CONSOLE asennettuna!
.
((((((((((((((((((((((((((((((((((((((( Muut Poistetut ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ tn3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . poistaminen ei onnistunut
.
((((((((((((((((((((((((( Files luotu 2007-12-22 ja 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167.545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - a ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Program Files \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Program Files \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Program Files \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Program Files \ Bazooka Scanner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - a ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - a ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Program Files \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - a ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ msdownld.tmp
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program Files \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Program Files \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - a ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - a ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - a ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Program Files \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Program Files \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Program Files \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Program Files \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program Files \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Program Files \ NHN Yhdysvalloissa
2007-12-17 21:17 --------- d ----- w C: \ Program Files \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Program Files \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Program Files \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Program Files \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Program Files \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit default merkinnät eivät näy
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ system32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"Daemon Tools" = "C: \ Program Files \ Daemon Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Hakulaite" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
Wireless Configuration Utility HW.15.lnk - C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ policies \ system]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ curr entversion \ Explorer \ ShellExecuteHooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ ilmoitettava \! SASWinLogon]
C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Käynnistä-valikko ^ Ohjelmat ^ Käynnistys ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon käynnistysviestien
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Program Files \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Program Files \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Program Files \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32, C: \ WINDOWS \ system32 \ DRIVERS \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ system32 \ DRIVERS \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM, C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup, C: \ WINDOWS \ system32 \ drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport, C: \ WINDOWS \ system32 \ DRIVERS \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Langaton lähiverkko (Mini-) PCI NIC NT Driver; C: \ WINDOWS \ system32 \ DRIVERS \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X, D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ Autorun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit / varkain haittaohjelmien detektori on Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 NTFS
skannaus piilotettu prosessien ...
skannaus piilotettu Autostart merkinnät ...
skannaus piilotetut tiedostot ...
scan loppuun onnistuneesti
piilotetut tiedostot: 0
************************************************** ************************
.
Täydennys-aika: 2008-01-22 0:42:14 - kone käynnistettiin uudelleen
ComboFix-karanteenissa-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21 tammikuu 2008, 22:57

Nyt lataus The Avenger By Swandog46Ja tallenna se työpöydälle.

Uuteöljyt avenger.exe alkaen zip-tiedosto ja tallenna se työpöydälle
Suorita avenger.exe kaksoisnapsauttamalla sitä.
Tarkista Input script käsin ruutuun.
Klikkaa suurennuslasia symboli joka avaa uuden ikkunan otsikko Näytä / Muokkaa skriptiä
Kopioi kaikki olisi Codee alla olevaan kenttään ja liitä se laatikko, joka avautuu:

Code:

Kansioita poistaa: C: \ Temp \ tn3 tiedostot poistaa: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk rekisteriavaimiin poistaa: HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Huomautus: Edellä lainaus on luotu erityisesti tälle käyttäjälle. Jos et ole tämän käyttäjän eivät noudata näitä ohjeita, koska ne saattavat vahingoittaa toimintaa järjestelmän

Nyt napsautaTehty-Painiketta.
Klikkaa Green Light ja OK kehoitteeseen.
Sinua pyydetään käynnistämään uudelleen, valitse OK on nopea ja tietokoneen pitää järjestelmä käynnistää uudelleen, jos ei, käynnistät sen itse.
Lokitiedosto alkaen Avenger on tuotettu C: \ avenger.txt

The Avenger automaattisesti, toimi seuraavasti:

Se Käynnistä tietokone uudelleen. (Jos koodi toteuttaa sisältää "Drivers purkaa"The Avenger todella käynnistät järjestelmän kahdesti.)
On käynnistettävä uudelleen, se lyhyesti avata musta komento ikkuna suoraan työpöydällesi, tämä on normaalia.
Uudelleenkäynnistyksen jälkeen, se luo lokitiedoston joka olisi avoin tulokset Avenger toimia.

Tämä loki tiedosto sijaitsee C: \ avenger.txt

The Avenger on myös varmuuskopioidaan kaikki tiedostot jne., että olette pyytäneet se poistaa, Ja se on zipped ja siirsi zip-arkistot C: \ Avenger \ backup.zip.

Pyydän liittää että C: \ avenger.txt näkyy seuraavassa postitse.

----------

Seuraava post
Avenger log

**Psychaospath** · #9 21 tammikuu 2008, 23:09

ok tässä u mennä vielä ponnahdusikkunat BTW.

Logfile of The Avenger version 1, jonka Swandog46
Alkaen rekisteriavaimen:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Komentosarjatiedosto osoitteessa wqwsrviw
Could not open komentosarjatiedosto! Virhe
Could not open komentosarjatiedosto! Status: 0xc000003b Keskeyttäkää!

**Psychaospath** · #10 21 tammikuu 2008, 23:16

oho minun huono i redid se, cuz lokin didnt näytä oikealta, ja ilmeisesti i didnt tehdä jotain oikein ensimmäistä kertaa, heres uusi loki. Voi ja vielä on ponnahdusikkunat.

Logfile of The Avenger version 1, jonka Swandog46
Alkaen rekisteriavaimen:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Komentosarjatiedosto sijaitsee osoitteessa: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Komentosarjatiedosto avattiin onnistuneesti.
Komentosarjatiedosto lukea onnistuneesti
Backups directory avattu menestyksekkäästi C: \ Avenger
*******************
Alku käsitellä komentosarjatiedosto:
Kansio C: \ Temp \ tn3 poistaminen onnistui.
File C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk poistaminen onnistui.
Rekisteriavain HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) poistettu.
Valmistui komentosarjan käsittelyä.
*******************
Finished! Terminate.

Samanlaisia Threads
Kierre	Thread Starter	Forum	Vastaukset	Last Post
Need Help poistaminen Adware	ezong	Virusten, vakoiluohjelmien & Security	8	15. Jul 2009 13:15
Tribalfusion tämä on tietyntyyppinen adware	hopthwoks	Virusten, vakoiluohjelmien & Security	2	2. Feb 2009 01:37
Adware pulassa	Marcus123	Virusten, vakoiluohjelmien & Security	3	30 Jan 2008 11:11
Adware ongelmat eivät voi estää ponnahdusikkunat	Passat	Virusten, vakoiluohjelmien & Security	8	23. Jan 2008 21:42
Nid apua! ~ En voi poistaa tämän adware / virus!	jomm43point67	Virusten, vakoiluohjelmien & Security	10	16. Jan 2008 08:38

Thread Tools
Näytä Tulostettava versio Lähetä tämä sivu