애드웨어 심각한 문제

**Psychaospath** · #1 2008년 1월 21일, 20시 16분

저는 심각한 문제가있다. 필자는 내 컴퓨터에 애드웨어의 일종. 임 서핑을 할 때, 또는 그냥 내 브라우저를 열고, 매일 2-3분 팝업 팝업됩니다. 필자는 평균 안티 - 바이러스, 평균 안티 - 스파이웨어, CounterSpy, 바주카 스캐너를 사용하려고합니다.

그들은 모두, 내가 그들 모두를 없애, 난 다시는 다 사라 스캔있어 사물의 톤을 발견했다. 적지 TrackingCookies들을 제외하지만 애드웨어 문제에 기여해서는 안된다. 이들은 최고의 프로그램이 될 suppost있다.

내가 뭘 어떻게해야 할 필요하거나 사용하는 방법은?

**evilfantasy** · #2 2008년 1월 21일, 20시 34분

좀 더 자세히 살펴봐야하자.

다운로드 및 이름을 바꾸려면 HijackThis를 (HJT)

- HJTInstall을 두 번 클릭합니다.
클릭에 설치 버튼을 클릭하십시오.
그것은 자동으로 배치됩니다 HJT 에 C : \ 프로그램 파일 \ TrendMicro \ HijackThis를 \ HijackThis.exe.
즉시 설치, HijackThis를 오픈한다.
- 닫기 HijackThis를하고 이름을 바꾸려면.
- 이동을 C : \ 프로그램 파일 \ 트렌드 마이크로 \HijackThis.exe
- 마우스 오른쪽 버튼으로 클릭에 HijackThis.exe 선택 이름 바꾸기.
- 유형에 sniper.exe 그리고 기자 입력.
- 오른쪽 - 클릭합니다 켜기 sniper.exe 선택 친구에게 보내기 > 데스크톱 (바로 가기를 만들려면)
바탕 화면에 열려 HiajckThis.
Windows Vista를 사용하는 경우 반드시 관리자로 실행
클릭에 시스템 검사를 수행하고 로그 파일을 저장합니다 버튼을
HijackThis를 다음 로그 메모장에서 열립니다 스캔합니다.
귀하의 게시물을 복사하여 다음에 로그 붙여넣기.
- 하지 마세요 HijackThis를 아직 아무것도 해결했다. 그게 뭔지 발견의 대부분 또는 해가 될 필요도.

비록 우리가 저격수 HijackThis를 개명이, 우리는 여전히 그것에 HijackThis를하거나 HJT로 참조됩니다.

**Psychaospath** · #3 2008년 1월 21일, 20:50

트렌드 마이크로의 로그 파일은 HijackThis v2.0.2
스캔 오후 10시 50분 7초에서 2008년 1월 21일에 저장된
플래트홈 :는 Windows XP SP2 (WinNT 2600년 1월 5일)
MSIE : Internet Explorer를 v7.00 (7.00.6000.16574)
부팅 모드 : 일반
실행중인 프로세스 :
에 C : \ 윈도우 \ System32 \ Smss.exe
에 C : \ 윈도우 \ system32를 \의 Winlogon.exe
에 C : \ 윈도우 \ system32를 \ Services.exe
에 C : \ 윈도우 \ system32를 \ Lsass.exe가
에 C : \ 윈도우 \ system32를 \ Ati2evxx.exe
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 윈도우 \ System32 \ Svchost.exe는
에 C : \ 윈도우 \ system32를 \ Svchost.exe는
에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 2007년 \ aawservice.exe
에 C : \ 윈도우 \ system32를 \ Ati2evxx.exe
에 C : \ 윈도우 \ Explorer.EXE
에 C : \ 윈도우 \ system32를 \ Spoolsv.exe에서
에 C : \ 윈도우 \ SOUNDMAN.EXE
에 C : \ 프로그램 파일 \ ATI Technologies의 \ ATI.ACE \ cli.exe
에 C : \ 프로그램 파일 \ 자바 \ jre1.6.0_03 \ 빈 \ jusched.exe
에 C : \ 프로그램 파일 \ 아이튠즈 \ iTunesHelper.exe
에 C : \ 프로그램 파일 \ SlySoft \ CloneCD \ CloneCDTray.exe
에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
에 C : \ 프로그램 파일 \ Grisoft \ 평균 안티 - 스파이웨어 5월 7일 \ avgas.exe
에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
에 C : \ 프로그램 파일 \ 데몬 도구 \ daemon.exe
에 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
에 C : \ 프로그램 파일 \ TRENDnet \ TRENDnet 대고 - 421PC_TEW - 423PI \ WlanCU.exe
에 C : \는 Program Files \ Common 파일 \ 애플 \ 모바일 장치 지원 \ 빈 \ AppleMobileDeviceService.exe
에 C : \ 프로그램 파일 \ Grisoft \ 평균 안티 - 스파이웨어 5월 7일 \ guard.exe
에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
에 C : \ 프로그램 파일 \ 아이팟 \ 빈 \ iPodService.exe
에 C : \ 프로그램 파일 \ ATI Technologies의 \ ATI.ACE \ cli.exe
에 C : \ 프로그램 파일 \ ATI Technologies의 \ ATI.ACE \ cli.exe
에 C : \ 프로그램 파일 \의 Internet Explorer \ iexplore.exe를
에 C : \ 프로그램 파일 \ 트렌드 마이크로 \ HijackThis를 \ sniper.exe
R0 - HKCU \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, 시작 페이지 = http://www.yahoo.com/
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, Default_Page_URL = http://www.yahoo.com/
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, 검색 바 = http://us.rd.yahoo.com/customize/ie/...ch/search.html
의 R1 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, 검색 페이지 = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 대문, 시작 페이지 = http://www.yahoo.com/
R0 - 경우 HKLM \ 소프트웨어 \ 마이크로 소프트 \ Internet Explorer를 \ 검색, CustomizeSearch =
R3 - URLSearchHook : 야후! 툴바 - (EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88) -에 C : \ PROGRA ~ 1 \ 야후! \ 동반자 \ 설치 \ cpn \ yt.dll
O2는 - BHO를 : & 야후! 툴바 도우미 - (02478D38 - C3F9 - 4efb - 9B51 - 7695ECA05670) -에 C : \ PROGRA ~ 1 \ 야후! \ 동반자 \ 설치 \ cpn \ yt.dll
O2는 - BHO를 : 야후! IE의 서비스 버튼 - (5BAB4B5B - 68BC - 4B02 - 94D6 - 2FC0DE4A7897) -에 C : \ 프로그램 파일 \ 야후! \ 공통 \ yiesrvc.dll
O2는 - BHO를 : SSVHelper 클래스 - (761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43) -에 C : \ 프로그램 파일 \ 자바 \ jre1.6.0_03 \ 빈 \ (파일 누락) ssv.dll
O3 - 툴바 : 야후! 툴바 - (EF99BD32 - C1FB - 11D2 - 892F - 0090271D4F88) -에 C : \ PROGRA ~ 1 \ 야후! \ 동반자 \ 설치 \ cpn \ yt.dll
O4 - 경우 HKLM \ .. \ 실행 : [음향] SOUNDMAN.EXE
O4 - 경우 HKLM \ .. \ 실행 : [ATICCC]는 "C : \ 프로그램 파일 \ ATI Technologies의 \ ATI.ACE \ cli.exe"런타임 - 지연
O4 - 경우 HKLM \ .. \ 실행 : [SunJavaUpdateSched]는 "C : \ 프로그램 파일 \ 자바 \ jre1.6.0_03 \ 빈 \ jusched.exe"
O4 - 경우 HKLM \ .. \ 실행 : [iTunesHelper]는 "C : \ 프로그램 파일 \ 아이튠즈 \ iTunesHelper.exe"
O4 - 경우 HKLM \ .. \ 실행 : [CloneCDTray]는 "C : \ 프로그램 파일 \ SlySoft \ CloneCD \ CloneCDTray.exe"/ s
O4 - 경우 HKLM \ .. \ 실행 : [AVG7_CC]에서 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - 경우 HKLM \ .. \ 실행 : [! 평균 안티 - 스파이웨어]는 "C : \ 프로그램 파일 \ Grisoft \ 평균 안티 - 스파이웨어 7월 5일 \ avgas.exe"/ 최소화
O4 - 경우 HKLM \ .. \ 실행 : [LXCFCATS] rundll32에 C : \ 윈도우 \ System32 \ 스풀 \ 운전자 \ W32X86 \ 3 \ LXCFtim e.dll, _RunDLLEntry 16 @
O4 - HKCU \ .. \ 실행 : [Ctfmon.exe를]에서 C : \ 윈도우 \ system32를 \ Ctfmon.exe를
O4 - HKCU \ .. \ 실행 : [데몬 도구]는 "C : \ 프로그램 파일 \ 데몬 도구 \ daemon.exe"- 1033 lang
O4 - HKCU \ .. \ 실행 : [야후! 호출기]는 "C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"- 조용
O4 - HKCU \ .. \ 실행 : [SUPERAntiSpyware]에서 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ 내로 S - 1 - 5 - 19 \ .. \ 실행 : [AVG7_Run]에서 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (사용자 '로컬 서비스')
O4 - HKUS \ 내로 S - 1 - 5 - 20 \ .. \ 실행 : [AVG7_Run]에서 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (사용자 'NETWORK SERVICE를')
O4 - HKUS \ 내로 S - 1 - 5 - 18 \ .. \ 실행 : [AVG7_Run]에서 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (사용자 '시스템')
O4 - HKUS \. 기본적 \ .. \ 실행 : [AVG7_Run]에서 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (사용자 '기본 사용자')
O4 - 글로벌 시동 : 무선 구성 유틸리티 HW.15.lnk =에서 C : \ 프로그램 파일 \ TRENDnet \ TRENDnet 대고 - 421PC_TEW - 423PI \ WlanCU.exe
O9 - 추가 버튼 : 야후! 서비스 - (5BAB4B5B - 68BC - 4B02 - 94D6 - 2FC0DE4A7897) -에 C : \ 프로그램 파일 \ 야후! \ 공통 \ yiesrvc.dll
O9 - 추가 버튼 : ShopperReports - (파일 누락) - (C5428486 - 50A0 - 4a02 - 9D20 - 520B59A9F9B2) -에 C : \ 프로그램 파일 \ ShoppingReport있는 \ Bin \ 2.0.26 \ ShoppingReport.dll 제품 가격 비교
O9 - 추가 버튼 : ShopperReports - (파일 누락) - (C5428486 - 50A0 - 4a02 - 9D20 - 520B59A9F9B3) -에 C : \ 프로그램 파일 \ ShoppingReport있는 \ Bin \ 2.0.26 \ ShoppingReport.dll 여행 요금 비교
O9 - 추가 버튼 : 메신저 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O9 - 엑스트라 '도구'메뉴 : 윈도우 메신저 - (FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683) -에 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
O16 - DPF : (05D44720 - 58E3 - 49E6 - BDF6 - D00330E511D3) (StagingUI 개체) - http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF : (30528230 - 99f7 - 88d8 - 4bb4 - fa1d4f56a2ab) (설치 지원) -에 C : \ 프로그램 파일 \ 야후! \ 공통 \ Yinsthelper.dll
O16 - DPF : (39B0684F - D7BF - 4743 - B050 - FDC3F48F7E3B) - http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF : (3BB54395 - 5982 - 4천7백88 - 8AF4 - B5388FFDD0D8) (MSN Games를 - 버디 초대) - http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF : (48DD0448 - 9209 - 4F81 - 9F6D - D83562940134) (마이 스페이스 업로더 제어) - http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF : (5736C456 - EA94 - 4AAC - BB08 - 917ABDD035B3) (ZonePAChat 개체) - http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF : (67A5F8DC - 1A4B - 4D66 - 9F24 - A704AD929EEE) (시스템 요구 사항 연구소) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF : (9BDF4724 - 10AA - 43D5 - BD15 - AEA0D2287303) (MSN Games를 - 텍사스 Holdem 부지깽이) - http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF : (B8BE5E93 - A60C - 4D26 - A2DC - 220313175592) (MSN Games를 - 설치) - http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF : (DA2AA6CF - 5C7A - 4B71 - BC3B - C771BB369937) (MSN 친구 게임 - 게임 커뮤니케 이터) - http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon을 알림 :! SASWinLogon -에 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SASWINLO.dll
O23 - 서비스 : Ad - Aware는 2007년 서비스 (aawservice) - Lavasoft -에 C : \ 프로그램 파일 \ Lavasoft \ Ad - Aware는 2007년 \ aawservice.exe
O23 - 서비스 : 애플이 모바일 디바이스 - 애플, Inc. -에 C : \는 Program Files \ Common 파일 \ 애플 \ 모바일 장치 지원 \ 빈 \ AppleMobileDeviceService.exe
O23 - 서비스 : Ati 단축키 Poller - ATI Technologies 코리아 -에 C : \ 윈도우 \ system32를 \ Ati2evxx.exe
O23 - 서비스 : ATI의 스마트 - 알 수없는 소유자 -에 C : \ 윈도우 \ system32를 \ ati2sgag.exe
O23 - 서비스 : 평균 안티 - 스파이웨어 가드 - Grisoft sro -에 C : \ 프로그램 파일 \ Grisoft \ 평균 안티 - 스파이웨어 7월 5일 \ guard.exe
O23 - 서비스 : AVG7 경보 관리자 서버 (Avg7Alrt) - Grisoft, sro -에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - 서비스 : AVG7 업데이트 서비스 (Avg7UpdSvc) - Grisoft, sro -에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - 서비스 : 평균 전자 - 메일 스캐너 (AVGEMS) - Grisoft, sro -에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - 서비스 : InstallDriver 표 관리자 (IDriverT) - Macrovision Corporation의 -에 C : \는 Program Files \ Common 파일 \는 InstallShield \ 드라이버 \ 1150년 \ 인텔 32 \ IDriverT.exe
O23 - 서비스 : 아이팟 서비스 - 애플 -에 C : \ 프로그램 파일 \ 아이팟 \ 빈 \ iPodService.exe
O23 - 서비스 : lxcf_device - -에 C : \ 윈도우 \ system32를 \ lxcfcoms.exe
-
파일의 끝 - 7,993 바이트

**evilfantasy** · #4 2008년 1월 21일, 20:59

그 정도는, 우리는 좀 더 철저한 검사를 할 필요가 공개하지 않았다.

몇 빈 항목으로 해결하기 위해 HJT 잽싸게.

HijackThis를 선택 열기 시스템 스캔 마 전용.

다음의 항목 옆에 확인 표시 장소 :

O9 - 추가 버튼 : ShopperReports - (파일 누락) - (C5428486 - 50A0 - 4a02 - 9D20 - 520B59A9F9B2) -에 C : \ 프로그램 파일 \ ShoppingReport있는 \ Bin \ 2.0.26 \ ShoppingReport.dll 제품 가격 비교
O9 - 추가 버튼 : ShopperReports - (파일 누락) - (C5428486 - 50A0 - 4a02 - 9D20 - 520B59A9F9B3) -에 C : \ 프로그램 파일 \ ShoppingReport있는 \ Bin \ 2.0.26 \ ShoppingReport.dll 여행 요금 비교

HijackThis를 클릭을 제외하고 모든 창을 닫기 수정 확인.

출구 HijackThis를.

---------

다운로드 CCleaner

그것은 다운로드를 추천합니다 CCleaner - 슬림 - 아니 툴바 이는 야후가없이는 버전입니다! 툴바.

the ccsetup.exe 파일을 더블 클릭하여 프로그램의 설치를 시작합니다.
언어 선택을 클릭합니다 확인다음, 다음.
라이센스 계약을 읽어 클릭 동의함.
클릭 다음 설치 위치를 기본값을 사용합니다.
설치 옵션에서 모든 기본 설정을 선택
클릭 설치 그런 다음 마무리 설치를 완료합니다.
더블 클릭 CCleaner 바탕 화면에 바로 가기가 프로그램을 시작합니다.
"윈도우"탭에서 "Internet Explorer를 아래에,"선택을 취소합니다 "쿠키"만약 당신이 그들을 삭제 싶지 않아요. (만약 삭제, 가능성이있는 모든 사이트를 방문하면 쿠키가 어디)를 인식하는 데 사용됩니다에서 귀하의 비밀 번호를 다시 입력해야합니다.
경우는 파이어 폭 스나 모질라 브라우저에 대한 선택을 취소에있는 상자를 "쿠키"를 응용 프로그램 탭의, Firefox를 받고있다 / 모질라를 사용합니다.
고급 "에있는 윈도우의 왼쪽에있는"옵션 "아이콘을 클릭하면, 다음을 클릭합니다."
해제 "불과 48 시간이 이전보다 윈도우 임시 폴더에있는 파일을 삭제합니다."
클릭하여 윈도우의 왼쪽에있는 "클리너"아이콘을 클릭한 실행 클리너 프로그램을 실행합니다.
주의 : 만약 당신이 매우 레지스트리로 알려져있다 익숙한만이 합법적인 항목을 찾을 수있는 "레지스트리"기능을 사용할 수있습니다.
항상 귀하의 레지스트리를 백업 이전 어떠한 변경을.
이후 CCleaner 이 과정이 완료를 클릭 출구.

----------

다운로드 SUPERAntispyware 무료 에디션 (SAS는)

바탕 화면에 아이콘을 더블 - 클릭하여 설치 프로그램을 실행합니다.
언제 요청 업데이트 프로그램의 정의를 클릭합니다 예
다음을 클릭합니다 환경 설정 버튼을 클릭하십시오.
클릭하여 스캐닝 제어 탭을 선택합니다.
아래에 스캐너 옵션 확신은 다음이 선택되어 있는지 확인 :
- 스캔하기 전에 브라우저를 닫습니다
- 스캔 쿠키를 추적하기위한
- 격리되기 전에 메모리를 위협 종료
- 제발 다른 사람을 선택하지 마십시오.
- 닫기 버튼을 클릭하여 화면을 제어 센터를 남길 수있습니다.
클릭하여 닫기 버튼은 통제 센터 화면을 남길 수있습니다.
메인 화면을 클릭 스캔하여 컴퓨터
왼쪽 수표에 C : \ 드라이브를 고정
옳은 선택 스캔을 수행 완료
클릭 다음 스캔을 시작합니다. 당신의 컴퓨터를 검색하는 동안 잠시 기다려주십시오.
요약 상자가 나타납니다 후 스캔이 완료됩니다. 클릭 확인
흰색 상자에 있는지 다 체크를 다음, 다음을 클릭했습니다 다음
그것이 무엇을 발견한다면, 그것을 묻습니다 격리하려는 경우 재부 팅을 클릭합니다 예
제거 정보를 검색하려면 다음을 수행하시기 바랍니다 :
- 재부팅 후 바탕 화면에 두 번 - SUPERAntiSpyware 아이콘을 클릭합니다.
- 클릭 환경 설정. 클릭하여 통계 / 로그 탭을 선택합니다.
- 스캐너 Logs를 두 번 클릭합니다 아래 - SUPERAntiSpyware 스캔 로그인하십시오.
- 이것을 기본 텍스트 편집기를 메모장 / 워드 패드 (등)에서 열립니다.
- 바탕 화면에 메모장 ()를 클릭하여 파일을 메모장 할인 파일 > 이름으로 저장...
어딘가에 로그 저장을 쉽게 찾을 수있습니다. (일반적으로 바탕 화면)
닫기를 눌러 종료를 다시 프로그램을 종료합니다.
그리고 귀하의 게시물에 로그를 복사하여 붙여넣습니다.

----------

다음 사항을 추가 게시
SuperantiSpyware 로그

**Psychaospath** · #5 2008년 1월 21일, 22시 20분

좋아, 드디어 일을 하긴했지만 ... 팝업 여전히 어쨌든 여기 로그 heres :

스캔 SUPERAntiSpyware 로그인
http://www.superantispyware.com

2008년 1월 22일 00:10에서 생성된 AM

응용 프로그램 버전 : 1008년 9월 3일

코어 규칙 데이터베이스 버전 : 3385
추적 규칙 데이터베이스 버전 : 1379년

스캔 유형 : 컴플리트 스캔
총 스캔 시간 : 0시 48분 33초

메모리 항목이 검색 : 556
메모리의 위협을 감지 : 0
레지스트리 항목을 스캔 : 4213
레지스트리의 위협을 감지 : 0
파일 항목을 검사 : 39567
파일의 위협을 감지 : 8

쿠키 Adware.Tracking
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ richard@login.revenueloop [2]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ richard@publishers.clickb ooth [2]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ 더블 @ 리차드 [1]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ richard@ads.pointroll [1]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ bluestreak @ 리차드 [1]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ tribalfusion @ 리차드 [2]. txt로
에 C : \ Documents 및 Settings \ 리처드 \ 쿠키 \ atdmt @ 리차드 [2]. txt로

RootKit.TnCore / 분석실
에 C : \ 윈도우 \ system32 \ drivers를 \ core.cache.dsk

**evilfantasy** · #6 2008년 1월 21일, 22시 23분

이 주위에 5~10분 걸릴 것입니다 스캔.

를 다운로드하여주십시오 Combofix 잠수정이 하나의 링크는 아래에서.
() 셋 모두 필요한 경우 시도

중요 - Combofix.exe 반드시 에 저장할 수 귀하 데스크톱.

열려있는 웹 브라우저를 닫습니다. (파이어 폭스, 인터넷 익스플로러 등)
종가 / 해제 모든 안티 바이러스 및 안티 악성 프로그램 그래서 그들은 Combofix에 방해가되지 않습니다. <- 중요
- 클릭 이 링크를 프로그램의 목록을 해제해야 볼 수있습니다. 의 경우는 표시되지 않습니다 그리고 당신은 얼마나 그것을 해제해야할지 모르겠다, 제발 부탁드립니다.
더블 클릭 combofix.exe 및 지침을 따르십시오.
- 키보드에서 선택 1 그리고 기자 입력
완료되면, 당신에 대한 로그를 생산할 예정이다.
포스트는 다음 회신에 로그인하세요.

combofix의 윈도우를 실행하는 동안 mouseclick하지 마십시오.
바탕 화면이 일시적으로 비활성화됩니다 스캔.
만약 당신의 컴퓨터를 냉동 중단으로 남겨둘 수있습니다.
이 경우, 다시 부팅하고 바탕 화면을 복원하시기 바랍니다.

다음 게시물
Combofix 로그

**Psychaospath** · #7 2008년 1월 21일, 22시 48분

확인 않았다. 하지만 필자는 여전히 :-( Heres 로그 팝업 있어요 :

ComboFix 08-01-21.3 - 리차드 2008년 1월 22일 0:30:28.1 - NTFSx86
Microsoft는 Windows XP Home Edition에서 5.1.2600.2.1252.1.1033.18.628 [그리니치 표준시 -5:00]
에서 러닝 :에서 C : \ Documents 및 Settings \ 리처드 \ 바탕 화면 \ ComboFix.exe
* 새 복원 지점 만든날짜
경고 -이 기계는하지 않을 경우 복구 콘솔을 설치한!!
.
((((((((((((((((((((((((((((((((((((((( 기타 삭제 ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
에 C : \ 임시 \ tn3
에 C : \ 윈도우 \ system32 \ drivers를 \ core.cache.dsk. . . . 삭제 실패
.
((((((((((((((((((((((((( 파일 2007년 12월 22일에 2008년 1월 22일 )))))))))))에서 생성된 ))))))))))))))))))))
.
2008년 1월 22일 00:36. 2008년 1월 22일 00:36 167,545 ---------에서 C : \ 윈도우 \ system32 \ drivers를 \ core.cache.dsk
2008년 1월 22일 00:34. 2008년 1월 22일 00:34 <DIR> d 개의 --------에서 C : \ Temp로 \ tn3
2008년 1월 22일 00:29. 2000년 8월 31일 08:00 51,200 - ------에서 C : \ 윈도우 \ Nircmd.exe
2008년 1월 21일 23:10. 2008년 1월 21일 23:10 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ CCleaner
2008년 1월 21일 22:47. 2008년 1월 21일 22:47 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 트렌드 마이크로
2008년 1월 21일 22:21. 2008년 1월 22일 00:16 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ SUPERAntiSpyware
2008년 1월 21일 02:10. 2008년 1월 21일 02:10 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ Lavasoft
2008년 1월 21일 02:09. 2008년 1월 21일 22:20 <DIR> d 개의 --------에 C : \는 Program Files \ Common 파일 \ 외이즈 설치 마법사
2008년 1월 20일 22:04. 2008년 1월 20일 22:04 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 바주카 스캐너
2008년 1월 20일 17:41. 2007년 5월 30일 07:10 10,872 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ AvgAsCln.sys
2008년 1월 20일 16:39. 2008년 1월 20일 16:39 86,144 - ------에서 C : \ 윈도우 \ system32 \ drivers를 \ ALCXWDMM.sys
2008년 1월 12일 16:25. 2008년 1월 12일 16:25 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 전자 예술
2008년 1월 12일 15:11. 2005년 6월 24일 16:24 438272 - 나라 ------에서 C : \ 윈도우 \ system32를 \ vp6vfw.dll
2008년 1월 12일 15:11. 2004년 12월 10일 09:06 327680 - ------에서 C : \ 윈도우 \ system32를 \ vp6dec.ax
2008년 1월 12일 15:06. 2008년 1월 12일 15:20 <DIR> D 조 - 반장님 -----에 C : \ 윈도우 \ msdownld.tmp
2008년 1월 10일 19:21. 2008년 1월 10일 19:21 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ uTorrent
2008년 1월 10일 19:01. 2008년 1월 10일 19:21 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ megamaps
2008년 1월 8일 22:43. 2008년 1월 10일 19:30 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 기타 프로 5
2008년 1월 6일 05:19. 2008년 1월 6일 05:19 <DIR> d 개의 --------에 C : \ 프로그램 파일 \ 전원 탭 소프트웨어
2008년 1월 3일 22:31. 2008년 1월 3일 22:31 <DIR> d 개의 --------에 C : \ AeriaGames
2008년 1월 3일 21:30. 2008년 1월 12일 21:55 <DIR> d 개의 --------에 C : \ UnrealTournament
2007년 12월 25일 14:25. 2007년 12월 28일 16:53 90 - ------에서 C : \ 윈도우 \ RCAMPEG4VC.ini
2007년 12월 25일 14:18. 2006년 9월 13일 14:52 561152 - ------에서 C : \ 윈도우 \ system32를 \ xvidcore.dll
2007년 12월 25일 14:18. 2006년 9월 13일 15:01 237568 - ------에서 C : \ 윈도우 \ system32를 \ xvidvfw.dll
2007년 12월 25일 14:18. 2005년 12월 30일 15:34 2864 - ------에서 C : \ 윈도우 \ system32를 \ xvid.inf
2007년 12월 25일 14:17. 2007년 12월 25일 14:17 <DIR> d 개의 --------에 C : \ 프로그램 파일 \의 RCA
.
Find3M 신고 (((((((((((((((((((((((((((((((((((((((( )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008년 1월 20일 20:59 --------- d 개 - 반장님 - 승에 C : \ 프로그램 파일 \ InstallShield 설치 정보
2008년 1월 17일 00:48 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 야후!
2008년 1월 16일 01:15 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ Lx_cats
2008년 1월 11일 00:21 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ Xfire
2008년 1월 11일 00:21 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 라임 와이어
2007년 12월 22일 10:47 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ DriftCity
2007년 12월 20일 07:35 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 시에라 - 선
2007년 12월 18일 08:02 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ NHN의 미국
2007년 12월 17일 21:17 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ 베데스다 Softworks
2007년 12월 5일 04:14 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ SlySoft
2007년 12월 3일 03:06 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ TGTSoft
2007년 11월 25일 18:18 --------- d 개의 ----- 승에 C : \는 Program Files \ Common 파일 \ 소닉 공유
2007년 11월 22일 05:03 --------- d 개의 ----- 승에 C : \ 프로그램 파일 \ Cliprex DVD 플레이어 전문
.
등록 (((((((((((((((((((((((((((((((((((((로드 포인트 )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* 참고 사항 * 빈 항목 & 합법 기본 항목이 표시되지 않습니다
REGEDIT4
[HKEY_CURRENT_USER \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Curre ntVersion \ 실행]
"Ctfmon.exe를"= "다음에 C : \ 윈도우 \ system32를 \ Ctfmon.exe를"[2004년 8월 4일 07:00 15360]
"데몬 도구"= "다음에 C : \ 프로그램 파일 \ 데몬 도구 \ daemon.exe"[2007년 8월 29일 10:09 171464]
"야후! 호출기"= "다음에 C : \ 프로그램 파일 \ 야후! \ 메신저 \ YahooMessenger.exe"[2007년 8월 30일 17:43 4670704]
"SUPERAntiSpyware"= "다음에 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SUPERAntiSpyware.exe"[2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ 커 entVersion \ 실행]
"음향"= "SOUNDMAN.EXE"[2006년 11월 16일 16:42 577536에 C : \ 윈도우 \ SOUNDMAN.EXE]
"ATICCC"= "다음에 C : \ 프로그램 파일 \ ATI Technologies의 \ ATI.ACE \ cli.exe"[2005년 8월 12일 13:43 45056]
"SunJavaUpdateSched"= "다음에 C : \ 프로그램 파일 \ 자바 \ jre1.6.0_03 \ 빈 \ jusched.exe"[2007년 9월 25일 01:11 132496]
"iTunesHelper"= "다음에 C : \ 프로그램 파일 \ 아이튠즈 \ iTunesHelper.exe"[2007년 9월 26일 13:42 267064]
"CloneCDTray"= "다음에 C : \ 프로그램 파일 \ SlySoft \ CloneCD \ CloneCDTray.exe"[2006년 9월 28일 14:21 57344]
"AVG7_CC"= "다음에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe"[2008년 1월 20일 17:18 579072]
"! 평균 안티 - 스파이웨어"= "다음에 C : \ 프로그램 파일 \ Grisoft \ 평균 안티 - 스파이웨어 5월 7일 \ avgas.exe"[2007년 6월 11일 04:25 6731312]
"LXCFCATS"= "다음에 C : \ 윈도우 \ System32 \ 스풀 \ 운전자 \ W32X 86 \ 3 \ LXCFtime.dll"[2005년 7월 20일 12:47 73728]
[HKEY_USERS \. 기본적 \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ Cur rentVersion \ 실행]
"AVG7_Run"= "다음에 C : \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe"[2008년 1월 20일 17:18 219136]
에 C : \ Documents 및 Settings \ All Users \ 시작 메뉴 \ 프로그램 \ 시작 프로그램 \
무선 구성 유틸리티 HW.15.lnk -에 C : \ 프로그램 파일 \ TRENDnet \ TRENDnet 대고 - 421PC_TEW - 423PI \ WlanCU.exe [2007년 1월 30일 13시 57분 42초 577536]
[HKEY_CURRENT_USER \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ curre ntversion \ 정책 \ 시스템]
"DisableRegistryTools"= 0 (0x0)으로
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ curr entversion \ 탐색기 \ shellexecutehooks]
"(5AE067D3 - 9AFB - 48E0 - 853A - EBB7F4A000DA)"=에서 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SASSEH.DLL [2006년 12월 20일 13:55 77824]
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을]
"UIHost"= "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \은 Windows NT \ currentversion \ Winlogon을 \ 통보 \! SASWinLogon]
에 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SASWINLO.dll 2007년 4월 19일 13:41 294912에 C : \ 프로그램 파일 \ SUPERAntiSpyware \ SASWINLO.dll
[경우 HKLM \ ~ \ startupfolder \에 C : ^ ^ 모든 사용자의 Documents and Settings ^ 시작 메뉴 ^ 프로그램 ^ 시작 프로그램 ^ 소닉 CinePlayer 빠른 Launch.lnk]
경로 =에서 C : \ Documents 및 Settings \ All Users \ 시작 메뉴 \ 프로그램 \ 시작 프로그램 \ 소닉 CinePlayer 빠른 Launch.lnk
백업 =에서 C : \ 윈도우 \ 누르 \ 소닉 CinePlayer 빠른 Launch.lnkCommon 시동
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ \ msconfig를 \ startupreg \ igndlm.exe] 도구 공유
에 C : \ 프로그램 파일 \ 다운로드 관리자 \ DLM.exe
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ \ msconfig를 \ startupreg \ Msmsgs이] 도구 공유
--------- 2004년 10월 13일 11:24 1,694,208에서 C : \ Program Files \ Messenger입니다 \ Msmsgs.exe
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ \ msconfig를 \ startupreg \ QuickTime을 작업] 도구 공유
- 2007년 6월 29일 05:24 ------ 286720에 C : \ 프로그램 파일 \ 퀵타임 \ qttask.exe
[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ \ msconfig를 \ startupreg \ SBCSTray] 도구 공유
에 C : \ 프로그램 파일 \ Sunbelt 소프트웨어 \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32;에 C : \ 윈도우 \ system32를 \ 운전자 \ videX3 2.sys [2006년 10월 17일 07:22]
R0 xfilt; 비아 개의 SATA IDE가 핫 - 플러그 드라이버;에 C : \ 윈도우 \ system32를 \ 운전자 \ xfilt.sys [2006년 10월 18일 04:39]
의 R1 ALCXWDMM; ALCXWDMM;에 C : \ 윈도우 \ system32 \ drivers를 \ ALCX WDMM.sys [2008년 1월 20일 16:39]
의 R1 Cinemsup; Cinemsup;에 C : \ 윈도우 \ system32 \ drivers를 \ 씨네 msup.sys [2002년 7월 19일 09:10]
R3 odysseyIM3; 오디세이 네트워크 서비스 미니;에 C : \ 윈도우 \ system32를 \ 운전자 \ odysseyIM3.sy [2007년 8월 17일 20:35]
S3는 rtl8180; Realtek RTL8180 무선 LAN (미니 -)는 PCI NIC의 NT 드라이버;에 C : \ 윈도우 \ system32를 \ 운전자 \ RTL8180.SYS [2003년 12월 30일 12:20]
S3는 SetupNTGLM7X; SetupNTGLM7X; D 조 : \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ 소프트웨어 \ 마이크로 소프트 \은 Windows \ curre ntversion \ 탐색기 \ mountpoints2 \ (5ed3c7c1 - 4bdf - 11dc - 8daa - 806d6172696f)]
\ 셸 \ 자동 \ 명령 - D 조 : \ Autorun.exe

[HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ 활성 설정 \ 설치된 구성 요소 \ (2352721C - 2267 - DB51 - 0008 - 030,706,070,804)]
에 C : \ 윈도우 \ system32를 \ vsc32.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - 루트킷 / 스텔스 맬웨어 감지기 Gmer에 의해, http://www.gmer.net
루트킷 스캔 2008년 1월 22일 0시 37분 48초
윈도우 서비스 팩 2를 NTFS 2600년 1월 5일
숨겨진 프로세스를 스캔 ...
숨겨진 자동 항목 스캔 ...
숨겨진 파일을 스캔 ...
스캔이 성공적으로 완료
숨겨진 파일 : 0
************************************************** ************************
.
완료 시간 : 2008년 1월 22일 0시 42분 14초 - 기계를 다시 부팅했다
ComboFix - 격리 - files.txt 2008년 1월 22일 5시 42분 10초
.
2008년 1월 11일 0시 38분 7초 --- EOF ---

**evilfantasy** · #8 2008년 1월 21일, 22:57

지금 다운로드 Swandog46함으로써 보복, 그리고 여러분의 데스크탑에 저장합니다.

우편에서 추출하여 avenger.exe 파일을 바탕 화면에 저장
에 double - clicking에 의해 실행 avenger.exe.
확인 스크립트를 수동으로 입력 상자.
돋보기 아이콘을 클릭하여 제목에있는 새 창이 열립니다 보기 / 스크립트 편집
아래의 Codee 상자에 모든 내용을 복사 및 붙여넣기 상자에서 열립니다 :

코드 :

폴더를 삭제하는 방법 :에서 C : \ Temp로 \ tn3 파일을 삭제하려면 :에서 C : \ 윈도우 \ system32 \ drivers를 \ core.cache.dsk 레지스트리 키를 삭제 : HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ 활성 설정 \ 설치된 구성 요소 \ (2352721C - 2267 - DB51 - 0008 - 030,706,070,804)

참고 : 위의 견적이 사용자를 위해 특별히 만들었습니다. 만약 당신이 사용자들은 시스템의 이러한 지시 사항에 따라 할 수없는 일의 손상되지 않습니다

이제 '를 클릭했다'버튼을 클릭하십시오.
클릭에 그린 라이트 및 확인 프롬프트.
당신, 다시 시작을 클릭하라는 메시지가 표시됩니다 확인 그리고 당신의 PC가 아니라면 스스로 그것을 다시 부팅 프롬프트에서 재부 팅해야합니다.
보복에서 로그 파일에서 생산됩니다 에 C : \ avenger.txt

보복을 자동으로 다음 단계를 수행합니다 :

그럴 거예요 컴퓨터를 다시 시작. (경우에 따라 코드를 실행하도록 어디 포함되어 "드라이버 언로드", 보복 실제로 시스템을 두 번 다시 시작됩니다.)
재부 팅에서 그것을 것입니다 간단히 검은색 명령 창을 열고 바탕 화면에,이 정상입니다.
후, 다시 시작, 로그 파일을 만듭니다 그 Avenger의 행동의 결과와 함께 오픈한다.

이 로그 파일에있는 것입니다 에 C : \ avenger.txt

보복도합니다 모든 파일을, 등등을, 삭제를 요청 배경, 그리고 그들을 압축해야합니다와 C 우편 아카이브 이사 : \ 보복 \ backup.zip.

제발 첨부 그 에 C : \ avenger.txt 다음 게시물.

----------

다음 게시물
보복 로그

**Psychaospath** · #9 2008년 1월 21일, 23시 9분

여기에 유 괜찮아, 아직도 팝업 btw.

로그 파일을 보복 버전 1의 Swandog46로
레지스트리 키에서 러닝 :
\ 레지스트리 \ 머신 \ 시스템 \ CurrentControlSet \ 서비스 \ hptxmheu
*******************
대본에있는 파일 : wqwsrviw
스크립트 파일을 열 수없습니다! 오류
스크립트 파일을 열 수없습니다! 상태 : 0xc000003b 중단하라!

**Psychaospath** · #10 2008년 1월 21일, 23:16

내 나쁜 난 웁스, 로그 그냥 보면 바로 사촌, 그리고 그것이 바로 redid 분명히 그때 난 처음으로 뭔가를 할 새 로그 heres. 아, 그리고 거기에 팝업이 여전히있다.

로그 파일을 보복 버전 1의 Swandog46로
레지스트리 키에서 러닝 :
\ 레지스트리 \ 머신 \ 시스템 \ CurrentControlSet \ 서비스 \ mkawvjax
*******************
대본에있는 파일 : \?? \에 C : \ 윈도우 \ system32를 \ ygueewld.txt
스크립트 파일이 성공적으로 열립니다.
스크립트 파일을 성공적으로 읽을
백업 디렉터리를 성공적으로 C에서 열립니다 : \ Avenger
*******************
스크립트 파일을 처리하는 시작 :
폴더는 C : \ Temp로 \ tn3이 성공적으로 삭제되었습니다.
파일 c : \ 윈도우 \ system32 \ drivers를 \ core.cache.dsk이 성공적으로 삭제되었습니다.
레지스트리 키 HKEY_LOCAL_MACHINE \ 소프트웨어 \ 마이크로 소프트 \ 활성 설정 \ 설치된 구성 요소 \ (2352721C - 2267 - DB51 - 0008 - 030706070804)이 성공적으로 삭제되었습니다.
스크립트 처리 수료.
*******************
완료! 종료할 수있습니다.

스레드 도구
보여 인쇄용 버전 이메일이 페이지