[Psychaospath]

Van egy komoly probléma. Ive van valami adware a számítógépre. Amikor Im szörfözés, vagy csak az én böngésző nyitott, majd egy felugró pop-up 2-3 percig. Ive próbált használ AVG Anti-Virus, AVG Anti-Spyware, CounterSpy és Bazooka Szkenner.

Ezek mind megtalálhatók tonna dolgot, van megszabadulni mindegyiket, azt vizsgálva ismét mindent elment. Kivéve a jó néhány TrackingCookies, de nem járul hozzá az adware probléma. Ezek suppost hogy a legjobb programokat.

Bármilyen javaslatot, hogy mit kell használni, vagy mit csináljak?

[evilfantasy]

Lets veszi a dolgokat.

Töltse le és átnevezése HijackThis (HJT)

• Kattintsunk duplán a HJTInstall.
• Kattintson a Telepítés gombra.
• Ez automatikusan helyet HJT a C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
• A telepítés, HijackThis kell nyitnia, az Ön számára.
  • Bezár HijackThis és nevezze.
  • Menj a C: \ Program Files \ Trend Micro \HijackThis.exe
  • Jobb kettyenés-on HijackThis.exe és válasszuk a Átnevezés.
  • Írd be sniper.exe és nyomjuk meg Enter.
  • Kattintson a jobb gombbal be sniper.exe és válasszuk a Küldés > Desktop (Parancsikon létrehozása)
• Az asztalon nyílt HiajckThis.
• Ha a Windows Vista, győződjön meg arról, hogy Run As Administrator
• Kattintson a Van egy rendszer scan, és mentse a log file gomb
• HijackThis majd scan, majd egy napló nyit a Jegyzettömbben.
• Másolja ki és be a naplóban a postán.
  • Ne Hijackthis volna meg valamit. A legtöbb, amit úgy találja majd ártalmatlan, sőt szükséges.

Még ha átnevezik HijackThis a mesterlövész, akkor is utal rá, mint HijackThis vagy HJT.

[Psychaospath]

Naplózás A Trend Micro HijackThis v2.0.2
Beolvasás mentett 10:50:07, on 1/21/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Futó folyamatok:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ System32 \ Services.exe
C: \ WINDOWS \ System32 \ Lsass.exe
C: \ WINDOWS \ System32 \ Ati2evxx.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ WINDOWS \ System32 \ Svchost.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ System32 \ Ati2evxx.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ System32 \ Spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7,5 \ avgas.exe
C: \ WINDOWS \ System32 \ Ctfmon.exe
C: \ Program Files \ DAEMON Tools \ daemon.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7,5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ cpn \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ cpn \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll (fájl hiányzik)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Installs \ cpn \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / Indítópult
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7,5 \ avgas.exe" / minimalizáltak
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ Spool \ Drivers \ W32x86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ System32 \ Ctfmon.exe
O4 - HKCU \ .. \ Run: [DAEMON Tools] "C: \ Program Files \ DAEMON Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" csendes
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra button: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: ShopperReports - Más termékek árai - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fájl hiányzik)
O9 - Extra button: ShopperReports - Más utazási aránya - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fájl hiányzik)
O9 - Extra button: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy Meghív) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Póker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati Hotkey Poller - ATI Technologies Inc. - C: \ WINDOWS \ System32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown tulajdonos - C: \ WINDOWS \ System32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7,5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ System32 \ lxcfcoms.exe
--
End of file - 7993 bytes

[evilfantasy]

Ez nem tárt fel sokat, akkor szükség lesz még néhány alaposan átvizsgálja.

Néhány üres bejegyzéseket rögzíteni a HJT gyorsan.

Open HijackThis, és válasszuk Nem a rendszer csak scan.

Tegyünk egy pipa mellett a következő bejegyzést:

O9 - Extra button: ShopperReports - Más termékek árai - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fájl hiányzik)
O9 - Extra button: ShopperReports - Más utazási aránya - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (fájl hiányzik)

Zárja be az összes Windows kivéve HijackThis, és kattintson Fix ellenőrizni.

Kilépés Hijackthis.

---------

Letöltés CCleaner

Azt javasoljuk, hogy töltse le a CCleaner - Slim -- Nem Eszköztár az a változat, amely nélkül a Yahoo! Eszköztárat.

• Kattintson duplán a fájl ccsetup.exe elindítani a telepítést a program.
• Válassza ki a kívánt nyelvet, és kattintson OK, Majd következő.
• Olvassa el a licencszerződést, és kattintson Elfogadom.
• Kattints következő az alap használata telepíteni helyét.
• Under Telepítse az Opciók gombot, válassza ki az alapértelmezett beállítások
• Kattints Telepítés majd Befejezés a telepítés.
• Kattintson duplán a CCleaner parancsikonra az asztalon, hogy elindítsa a programot.
• A "Windows" fülön az "Internet Explorer" törölje "sütik", ha nem akarjuk őket hagyni. (Ha el kell hagyni, akkor valószínűleg újra kell a jelszót minden helyek, ahol a cookie-k használata felismeri, hogy mikor látogat).
• Ha sem a Firefox vagy a Mozilla böngészők, a dobozt, hogy törölje a "sütik" van az Alkalmazások fülön, a Firefox / Mozilla.
• Kattintson a "Beállítások" ikont a bal oldalon az ablakot, majd kattintsunk az "Advanced".
  törölje "Csak a fájlok törlését a Windows Temp mappa idősebb, mint 48 órát."
• Kattintson a "tisztább" ikonra bal oldalán az ablakot, majd kattintsunk Run Tisztitószerek futtatni a programot.
• Vigyázat: Csak akkor használja a "nyilvántartó" funkciót, ha jól ismerem a rendszerleíró már ismert, hogy a jogos elemeket.
• Mindig másolatot készíteni a rendszerleíró előtt Bármely változtatás.
• Után CCleaner befejezte a folyamatot, kattintson Kilépés.

----------

Letöltés SUPERAntispyware Free Edition (SAS)

• Kattintson duplán az asztalon lévő ikonra, hogy futtassa a telepítőt.
• Arra a kérésre, hogy Frissítés A program meghatározása, kattintson Igen
• Kattintson a Next Kedvezmények gombra.
• Kattintson a Beolvasás Control lapot.
• Alatt Szkenner Opciók Győződjön meg róla, hogy csak a következők ellenőrzését:
  • Bezár böngészők előtt szkennelés
  • Scan for tracking cookie-kat
  • Terminate memória fenyegetések előtt karanténba
  • Kérjük, hagyja bejelölve a többiek.
  • Kattintson a Bezárás gombra, hogy elhagyja a Vezérlőközpont képernyőn.
• Kattintson a Bezár gombra, így a Vezérlőközpont képernyőn.
• A fő képernyőn kattintson Beolvasás a számítógépre
• A bal ellenőrzést C: \ Átalányösszegű Drive
• A jobb válasszon Perform Complete Scan
• Kattints Következő elindítani a keresést. Kérjük, legyen türelemmel, amíg átvizsgálja a számítógépet.
• Miután a vizsgálat befejeztével egy összefoglaló megjelenik. Kattints OK
• Győződjön meg róla, hogy mindent a fehér doboz ellenőrzése mellett, majd kattintsunk Következő
• Ez a karantén, mit talált, és ha tudni akarod újraindíthatod, kattintson Igen
• Letöltendõ eltávolítását információkért kérjük tegye a következőket:
  • Újraindítás után kattintson duplán a SUPERAntiSpyware ikonra az asztalon.
  • Kattints Kedvezmények. Kattintson a Statisztika / Logs lapot.
  • Szkenner naplók alapján, kattintson duplán SUPERAntiSpyware Szkennelés Napló.
  • Ez megnyitja az alapértelmezett szövegszerkesztőt (például a Jegyzettömb / Wordpad).
  • Mentse a fájlt a notepad asztalon kattintással (a Jegyzettömb) Fájl > Mentés másként...
• Mentés a napló valahol könnyedén megtalálja. (általában az asztalon)
• Kattintson a közeli és szoros újra kilép a programból.
• Kérjük, másolja ki és be a naplóban a postán.

----------

Következő utáni kérjük add
SuperantiSpyware napló

[Psychaospath]

OK Végre megvan tenni, de .... Popups is itt Egyébként Heres a napló:



SUPERAntiSpyware Scan Napló
http://www.superantispyware.com

Generálva 01/22/2008 at 00:10

Alkalmazás verzió: 3/9/1008

Az alapvető szabályok Database Version: 3385
Trace szabályzat Database Version: 1379

Beolvasás típusa: Complete Scan
Összesen beolvasási idő: 00:48:33

Memória beolvasott elem: 556
Memória észlelt fenyegetések: 0
Iktatási tételek Beolvasott: 4213
Rendszerleíróadatbázis észlelt fenyegetések: 0
Fájl elem Beolvasott: 39567
File észlelt fenyegetések: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ Richard @ DoubleClick [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ Richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ Richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ Richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ System32 \ Drivers \ core.cache.dsk

[evilfantasy]

Ez a scan veszi körül 5-től 10 percig.

Kérjük, töltse le a köv Combofix az egyik a lenti linkeket.
(Próbáld meg mind a három, ha szükséges)

• Link # 1
• Link # 2
• Link # 3

FONTOS - Combofix.exe KELL menteni kell a Desktop.

• Zárjon be minden megnyitott webböngészők. (Firefox, Internet Explorer, stb)
• Bezár / tiltása Minden anti-vírus és anti malware programok így nem zavarja Combofix. <- FONTOS
  • Kattints ez a kapcsolat hogy a programok listája, hogy ezért le kell tiltani. Ha a tiéd nem szerepel, és nem tudod, hogyan kell kikapcsolni, akkor kérje.
• Kattintson duplán combofix.exe és kövesse az instrukciókat.
  • A billentyűzet válasszuk 1 és nyomjuk meg Enter
• Ha kész, akkor egy log for you.
• Post hogy jelentkezzen be, a következő választ.

Ne mouseclick combofix az ablakon, miközben fut.
A vizsgálat ideiglenesen tiltsa le az asztalról.
Ha szakítani, akkor hagyja a számítógépét fagyasztani.
Ha ez előfordul, kérjük, indítsa újra visszaállítani az asztalon.


Következő post
Combofix napló

[Psychaospath]

OK-ra tette. de még ive got Popups :-( Heres a napló:



ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Running From: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Létrehozott egy új visszaállítási pontot
FIGYELMEZTETÉS-Ez a gép nem rendelkezik a helyreállítási konzol telepítve!!
.
Egyéb ((((((((((((((((((((((((((((((((((((((( Törlések ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ Temp \ tn3
C: \ WINDOWS \ System32 \ Drivers \ core.cache.dsk. . . . nem törli
.
((((((((((((((((((((((((( Files létrehozott 2007/12/22 a 2008/01/22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167.545 --------- C: \ WINDOWS \ System32 \ Drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - a ------ C: \ WINDOWS \ Nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Program Files \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Program Files \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Program Files \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Program Files \ Bazooka Szkenner
2008-01-20 17:41. 2007-05-30 07:10 10.872 - a ------ C: \ WINDOWS \ System32 \ Drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - a ------ C: \ WINDOWS \ System32 \ Drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Program Files \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ System32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - a ------ C: \ WINDOWS \ System32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ msdownld.tmp
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program Files \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Program Files \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - a ------ C: \ WINDOWS \ System32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - a ------ C: \ WINDOWS \ System32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - a ------ C: \ WINDOWS \ System32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Program Files \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Jelentés )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Program Files \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Program Files \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Program Files \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program Files \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Program Files \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Program Files \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Program Files \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Program Files \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Program Files \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Program Files \ Cliprex DVD Player Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Megjegyzés * empty entries & legit default bejegyzések nem jelennek meg
REGEDIT4
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntVersion \ Run]
"Ctfmon.exe" = "C: \ WINDOWS \ System32 \ Ctfmon.exe" [2004-08-04 07:00 15360]
"DAEMON Tools" = "C: \ Program Files \ DAEMON Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
! AVG Anti-Spyware "=" C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7,5 \ avgas.exe "[2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ Spool \ Drivers \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
Vezeték nélküli segédprogram HW.15.lnk - C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntversion \ Policies \ System]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Curr entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Start Menu ^ Programs ^ ^ Indítópult Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ PSS \ Sonic CinePlayer Quick Launch.lnkCommon Indítópult
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Program Files \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Program Files \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Program Files \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32, C: \ WINDOWS \ System32 \ Drivers \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ System32 \ Drivers \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM, C: \ WINDOWS \ System32 \ Drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup, C: \ WINDOWS \ System32 \ Drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey miniport hálózati szolgáltatások, C: \ WINDOWS \ System32 \ Drivers \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Wireless LAN (Mini-) PCI NIC Driver NT, C: \ WINDOWS \ System32 \ Drivers \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X; D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ Curre ntversion \ Explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ autorun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ System32 \ vsc32.exe
.
************************************************** ************************
CatchMe 0.3.1344 W2K/XP/Vista - Rootkit / stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
5/1/2600 Windows Service Pack 2 NTFS
szkennelés rejtett folyamatok ...
scanning hidden autostart entries ...
scanning hidden files ...
scan sikeresen befejeződött
hidden files: 0
************************************************** ************************
.
Teljesítés ideje: 2008-01-22 0:42:14 - a gép újraindítása
ComboFix-karantén-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

[evilfantasy]

Most letöltés Az Avenger A Swandog46, És mentsük el az asztalra.

• Extrahálási avenger.exe a ZIP fájlt, és mentse el az asztalon
• Run avenger.exe dupla kattintással meg.
• Ellenőrizze a Bemeneti parancsfájl kézzel doboz.
• Kattintson a nagyító ikonra, ami új ablakot nyit címmel Megtekintés / szerkesztés script
• Másolás mindent a Codee lenti, és illessze be azt a dobozt, hogy megnyitja:

Kód:

Mappák törölni: C: \ Temp \ tn3 fájlok törlésére: C: \ WINDOWS \ System32 \ Drivers \ core.cache.dsk Registry kulcsok törlése: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Megjegyzés: a fenti idézet azért hozták létre, külön erre a felhasználót. Ha nem ez a felhasználó, nem követi ezeket az irányokat, mivel azok károsíthatják a működését a rendszer

• Most kattintson a "Kész"Gombra.
• Kattintson a Green Light és OK A gyors.
• Maga lesz a számítógép újraindítására, kattintson OK A gyors és a PC kell újraindítani, ha nem, akkor reboot magad.
• A log file-Avenger fog termelni C: \ avenger.txt

Az Avenger automatikusan a következő:

• Ez Indítsa újra a számítógépet. (Abban az esetben, ha a kód futtatása tartalmaz "A járművezetők a Unload"Az Avenger ténylegesen újra a rendszer kétszer.)
• Az újraindítás, majd röviden nyitott fekete command ablak az asztalon, ez normális.
• Miután az újraindítás, azt létrehoz egy naplófájlt amely nyitott az eredmények Avenger fellépéseit.

• Ez a log fájl található C: \ avenger.txt

• Az Avenger is lesz fel az összes fájlt, stb, hogy felkérte, hogy törölni, És lesz zippelve, és kifejti a zip-archívumok a C: \ Avenger \ backup.zip.

• Kérem tulajdonít a C: \ avenger.txt a következő post.

----------

Következő post
Avenger napló

[Psychaospath]

OK és itt megy, még mindig popups btw.



Naplózás a The Avenger version 1, by Swandog46
Futás a registry kulcsot:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Script fájl található: wqwsrviw
Nem sikerült megnyitni a script fájlt! Hiba
Nem sikerült megnyitni a script fájlt! Status: 0xc000003b Abort!

[Psychaospath]

oops rossz i redid azt, cuz naplója didnt néz ki jól, és láthatólag i didnt do valami jobbra az első alkalom, hogy az új Heres naplót. Ó, és még mindig vannak popup.



Naplózás a The Avenger version 1, by Swandog46
Futás a registry kulcsot:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Script fájl található: \? \ C: \ WINDOWS \ System32 \ ygueewld.txt
Script fájlt megnyitni sikeresen.
Script file read sikeresen
Backups könyvtárban sikerült megnyitni a C: \ Avenger
*******************
Kezdet feldolgozni parancsfájl:
Folder C: \ Temp \ tn3 sikeresen törölve.
File C: \ WINDOWS \ System32 \ Drivers \ core.cache.dsk sikeresen törölve.
Rendszerleíró kulcsot: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) sikeresen törölve.
Completed script feldolgozás.
*******************
Kész! Megszűnik.