Poważny problem Adware

**Psychaospath** · #1 21 stycznia 2008, 20:16

Mam poważny problem. Ive got jakiś adware na moim komputerze. Gdy Im surfing, lub po prostu moja przeglądarka otwarta, popup pojawi się co 2-3 minut. Ive próbowała za pomocą AVG Anti-Virus, AVG Anti-Spyware, CounterSpy i Bazooka skanera.

Wszyscy oni znaleźć mnóstwo rzeczy, mam pozbyć się ich wszystkich, i ponownie skanowane, wszystko sie zmieniło. Poza sporo TrackingCookies, ale nie powinno się do adware problemu. Są to suppost za najlepsze programy.

Wszelkie sugestie co muszę użyć lub co mam zrobić?

**evilfantasy** · #2 21 stycznia 2008, 20:34

Pozwala przyjrzeć się bliżej.

Pobierz i zmień HijackThis (HJT)

Kliknij dwukrotnie HJTInstall.
Kliknij na Zainstaluj przycisk.
Będzie ona automatycznie miejsce w HJT C: \ Program Files \ TrendMicro \ HijackThis \ HijackThis.exe.
Po instalacji, HijackThis należy otworzyć dla Ciebie.
- Zamknij HijackThis i nazwy.
- Przejdź do katalogu C: \ Program Files \ Trend Micro \HijackThis.exe
- Kliknij prawym przyciskiem myszy HijackThis.exe i wybierz Zmień nazwę.
- Wpisz sniper.exe i naciśnij Wprowadź.
- Kliknij prawym przyciskiem myszy na sniper.exe i wybierz Wyślij do > Desktop (utworzyć skrót)
Od pulpicie otworzyć HiajckThis.
Jeśli korzystasz z systemu Windows Vista, należy Uruchom jako administrator
Kliknij na Czy system skanowania i zapisać plik Przycisk
HijackThis skanowania, a następnie zalogować się otworzyć w Notatniku.
Skopiuj i wklej log na post.
- Nie HijackThis nic się jeszcze ustalić. Większość z tego, co stwierdzi, będą nieszkodliwe lub nawet wymagane.

Nawet jeśli mamy przemianowane HijackThis do sniper, będziemy w dalszym ciągu odnoszą się do niego jak HijackThis lub HJT.

**Psychaospath** · #3 21 stycznia 2008, 20:50

Logfile of Trend Micro HijackThis v2.0.2
Skanowanie zapisany na 10:50:07 PM, na 1/21/2008
Platforma: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Uruchamianie procesów:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ Services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ WINDOWS \ explorer.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ WINDOWS \ SOUNDMAN.EXE
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ Program Files \ iTunes \ iTunesHelper.exe
C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ DAEMON Tools \ daemon.exe
C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ iPod \ bin \ iPodService.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://us.rd.yahoo.com/customize/ie/.../www.yahoo.com
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch =
R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Instaluje \ CPN \ yt.dll
O2 - BHO: & Yahoo! Toolbar Helper - (02478D38-C3F9-4efb-9B51-7695ECA05670) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Instaluje \ CPN \ yt.dll
O2 - BHO: Yahoo! IE Services Button - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ PROGRA ~ 1 \ Yahoo! \ Companion \ Instaluje \ CPN \ yt.dll
O4 - HKLM \ .. \ Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM \ .. \ Run: [ATICCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" runtime-Delay
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [iTunesHelper] "C: \ Program Files \ iTunes \ iTunesHelper.exe"
O4 - HKLM \ .. \ Run: [CloneCDTray] "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" / s
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [! AVG Anti-Spyware] "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" / zminimalizowane
O4 - HKLM \ .. \ Run: [LXCFCATS] rundll32 C: \ WINDOWS \ System32 \ spool \ DRIVERS \ w32x86 \ 3 \ LXCFtim e.dll, _RunDLLEntry @ 16
O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [DAEMON Tools] "C: \ Program Files \ DAEMON Tools \ daemon.exe"-lang 1033
O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" cichy
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RunOnce (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.15.lnk = C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe
O9 - Extra button: Yahoo! Usługi - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - C: \ Program Files \ Yahoo! \ Common \ yiesrvc.dll
O9 - Extra button: ShopperReports - Porównaj ceny produktów - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (plik brakuje)
O9 - Extra button: ShopperReports - Porównaj podróży rates - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (plik brakuje)
O9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (05D44720-58E3-49E6-BDF6-D00330E511D3) (StagingUI Object) -- http://zone.msn.com/binFrameWork/v10...I.cab55579.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (39B0684F-D7BF-4743-B050-FDC3F48F7E3B) -- http://www.fileplanet.com/fpdlmgr/ca..._2.3.6.108.cab
O16 - DPF: (3BB54395-5982-4788-8AF4-B5388FFDD0D8) (MSN Games - Buddy zaproszenie) -- http://zone.msn.com/BinFrameWork/v10...y.cab55579.cab
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (5736C456-EA94-4AAC-BB08-917ABDD035B3) (ZonePAChat Object) -- http://zone.msn.com/binframework/v10...t.cab55579.cab
O16 - DPF: (67A5F8DC-1A4B-4D66-9F24-A704AD929EEE) (System Requirements Lab) -- http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: (9BDF4724-10AA-43D5-BD15-AEA0D2287303) (MSN Games - Texas Holdem Poker) -- http://zone.msn.com/bingame/zpagames...e.cab60231.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Gra Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C: \ Program Files \ Lavasoft \ Ad-Aware 2007 \ aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc - C: \ Program Files \ Common Files \ Apple \ Mobile Device Support \ bin \ AppleMobileDeviceService.exe
O23 - Service: Ati Hotkey Poller - ATI Technologies Inc - C: \ WINDOWS \ system32 \ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ system32 \ ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Grisoft sro - C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Grisoft sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Grisoft sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - Grisoft sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 1150 \ Intel 32 \ IDriverT.exe
O23 - Service: iPod Service - Apple Inc - C: \ Program Files \ iPod \ bin \ iPodService.exe
O23 - Service: lxcf_device - - C: \ WINDOWS \ system32 \ lxcfcoms.exe
--
End of file - 7993 bytes

**evilfantasy** · #4 21 stycznia 2008, 20:59

To nie ujawniły wiele, musimy zrobić kilka gruntownych skanów.

Kilka pustych wpisów ustalić z HJT rzeczywistym szybko.

Otwórz HijackThis i wybierz Czy system skanowania tylko.

Miejsce zaznaczyć na następujące pozycje:

O9 - Extra button: ShopperReports - Porównaj ceny produktów - (C5428486-50A0-4a02-9D20-520B59A9F9B2) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (plik brakuje)
O9 - Extra button: ShopperReports - Porównaj podróży rates - (C5428486-50A0-4a02-9D20-520B59A9F9B3) - C: \ Program Files \ ShoppingReport \ Bin \ 2.0.26 \ ShoppingReport.dll (plik brakuje)

Zamknij wszystkie okna wyjątkiem HijackThis i kliknij przycisk Napraw zaznaczone.

Wyjdź HijackThis.

---------

Pobrać CCleaner

Proponuje się, aby pobrać CCleaner - Slim -- Nr Toolbar który jest w wersji bez Yahoo! Toolbar.

Dwukrotnie kliknij na ccsetup.exe plik, aby rozpocząć instalację programu.
Wybierz swój język i kliknij OK, A następnie następny.
Przeczytaj umowę licencyjną i kliknij przycisk Zgadzam.
Kliknij następny , aby użyć domyślnego lokalizację instalacji.
Zgodnie Zainstaluj Opcje wybrać wszystkie ustawienia domyślne
Kliknij Zainstaluj wtedy wykończenie , aby zakończyć instalację.
Kliknij dwukrotnie CCleaner skrótu na pulpicie, aby uruchomić program.
Na "Windows" kartę, pod "Internet Explorer", usuń zaznaczenie opcji "Cookies", jeśli nie chcesz je usunąć. (Skreślony Jeśli będziesz prawdopodobnie trzeba ponownie hasła we wszystkich miejscach, gdzie plik jest używany do rozpoznawania podczas wizyty).
Jeśli użyć przeglądarki Mozilla Firefox lub, aby wyczyścić pole wyboru dla "Cookies" na karcie Aplikacje, pod Firefoksa / Mozilli.
Kliknij przycisk "Opcje" ikonę po lewej stronie okna, a następnie kliknij przycisk "Zaawansowane".
odznaczyć "Tylko usunąć pliki w folderach Temp systemu Windows starszych niż 48 godziny."
Kliknij na "Cleaner" ikonę z lewej strony okna, a następnie kliknij przycisk Uruchom Cleaner , aby uruchomić program.
Uwaga: Używać tylko "Rejestr" funkcji, jeśli są bardzo znane z rejestru, jak zostało ono znane znaleźć legalnych przedmiotów.
Zawsze kopię zapasową rejestru przed dokonywania jakichkolwiek zmian.
Po CCleaner zakończyła proces, kliknij przycisk Wyjdź.

----------

Pobrać SUPERAntispyware Free Edition (SAS)

Kliknij dwukrotnie ikonę na pulpicie, aby uruchomić instalatora.
Gdy zwrócił się do Uaktualnić program definicje, kliknij Tak
Następnie kliknij Preferencje przycisk.
Kliknij Skanowanie Kontroli tab.
Pod Skaner Opcje upewnij się, że tylko sprawdzane są następujące:
- Zamknij przeglądarki przed skanowaniem
- Skanuj pliki cookie do śledzenia
- Kończy pamięci przed zagrożeniami quarantining
- Proszę zostawić pozostałe zaznaczone.
- Kliknij przycisk Zamknij, aby opuścić centrum sterowania ekran.
Kliknij Blisko przycisk, aby opuścić centrum sterowania ekran.
Na ekranie głównym kliknij przycisk Skanuj komputer
Po lewej sprawdzić C: \ Stałe Drive
Na prawo wyboru Perform Complete Scan
Kliknij Następny , aby rozpocząć skanowanie. Prosimy o cierpliwość podczas skanowania komputera.
Po ukończeniu skanowania podsumowanie polu będą wyświetlane. Kliknij OK
Upewnij się, że wszystko, co w białym polu ma sprawdzić obok niej, a następnie kliknij przycisk Następny
Będzie kwarantanny co znaleziono, a jeśli go pyta, czy chcesz ponownie uruchomić komputer, kliknij przycisk Tak
Aby pobrać usunięcie informacji wykonaj następujące czynności:
- Po ponownym uruchomieniu komputera, kliknij dwukrotnie ikonę SUPERAntiSpyware na pulpicie.
- Kliknij Preferencje. Kliknij Statystyki / Logi tab.
- Zgodnie Skaner Logs, kliknij dwukrotnie SUPERAntiSpyware Scan Zaloguj.
- Będzie otwarte w domyślnym edytorze tekstu (np. Notatnik / WordPad).
- Zapisz w notatniku plik na pulpicie przez kliknięcie (w Notatniku) Plik > Zapisz jako...
Zapisz dziennik gdzieś można łatwo go znaleźć. (zwykle na pulpicie)
Kliknij przycisk Zamknij i zamknąć ponownie, aby wyjść z programu.
Skopiuj, a następnie wkleić zalogować post.

----------

Następna wiadomość dodaj
SuperantiSpyware log

**Psychaospath** · #5 21 stycznia 2008, 22:20

ok i wreszcie dostał to zrobić, ale .... pop nadal tutaj, anyways heres dziennika:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/22/2008 at 00:10

Zastosowanie Wersja: 3.9.1008

Core Zasady Database Version: 3385
Trace Rules Database Version: 1379

Scan type: Complete Scan
Total Scan Time: 00:48:33

Pamięć pozycji zeskanowane: 556
Pamięć zagrożeń wykrytych: 0
Rejestr pozycji zeskanowane: 4213
Rejestr zagrożeń wykrytych: 0
Plik przedmioty zeskanowane: 39567
Plik wykrytych zagrożeń: 8

Adware.Tracking Cookie
C: \ Documents and Settings \ Richard \ Cookies \ richard@login.revenueloop [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@publishers.clickb ooth [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ DoubleClick [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard@ads.pointroll [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ bluestreak [1]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ tribalfusion [2]. Txt
C: \ Documents and Settings \ Richard \ Cookies \ richard @ atdmt [2]. Txt

RootKit.TnCore / Trace
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk

**evilfantasy** · #6 21 stycznia 2008, 22:23

Skanowanie weźmie około 5 do 10 minut.

Pobierz Combofix subs przez jednego z poniższych linków.
(Wszystkie trzy próby w razie potrzeby)

WAŻNE - Combofix.exe MUSI zostaną zapisane na Twojej Desktop.

Zamknij wszystkie otwarte internetowych. (Firefox, Internet Explorer, itp.)
Zamknij / wyłącz wszystkich anty wirus i anty programów malware tak że nie kolidują z Combofix. <- WAŻNE
- Kliknij na link , aby wyświetlić listę programów, które powinny być wyłączone. Jeśli twój nie ma na liście i nie wiesz jak go wyłączyć, proszę pytać.
Dwukrotnie kliknij combofix.exe i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.
- Z klawiatury wybierz 1 i naciśnij Wprowadź
Po zakończeniu, będzie produkować dziennik dla Ciebie.
Opublikuj, aby zalogować się kolejną odpowiedź.

Nie mouseclick combofix okna podczas jego uruchamiania.
Skanowania zostanie tymczasowo wyłączony pulpicie.
Jeśli przerwane może pozostawić komputer zamrożone.
Jeśli to nastąpi, należy ponownie uruchomić komputer, aby przywrócić pulpicie.

Następna wiadomość
Combofix log

**Psychaospath** · #7 21 stycznia 2008, 22:48

ok to zrobił. ale nadal ive got pop :-( Heres dziennika:

ComboFix 08-01-21.3 - Richard 2008-01-22 0:30:28.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.628 [GMT -5:00]
Uruchamianie z: C: \ Documents and Settings \ Richard \ Desktop \ ComboFix.exe
* Utworzono nowy punkt przywracania
OSTRZEŻENIE-This Machine nie ma konsoli odzyskiwania ZAINSTALOWANE!
.
((((((((((((((((((((((((((((((((((((((( Inne Skreślenia ))))))))) ))))))))))))))))))))))))))))))))))))))))
.
C: \ temp \ tn3
C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk. . . . nie udało się usunąć
.
((((((((((((((((((((((((( Pliki utworzone od 2007-12-22 do 2008-01-22 ))))))))))) ))))))))))))))))))))
.
2008-01-22 00:36. 2008-01-22 00:36 167.545 --------- C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk
2008-01-22 00:34. 2008-01-22 00:34 <DIR> d -------- C: \ Temp \ tn3
2008-01-22 00:29. 2000-08-31 08:00 51.200 - a ------ C: \ WINDOWS \ nircmd.exe
2008-01-21 23:10. 2008-01-21 23:10 <DIR> d -------- C: \ Program Files \ CCleaner
2008-01-21 22:47. 2008-01-21 22:47 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-01-21 22:21. 2008-01-22 00:16 <DIR> d -------- C: \ Program Files \ SUPERAntiSpyware
2008-01-21 02:10. 2008-01-21 02:10 <DIR> d -------- C: \ Program Files \ Lavasoft
2008-01-21 02:09. 2008-01-21 22:20 <DIR> d -------- C: \ Program Files \ Common Files \ Wise Installation Wizard
2008-01-20 22:04. 2008-01-20 22:04 <DIR> d -------- C: \ Program Files \ Scanner Bazooka
2008-01-20 17:41. 2007-05-30 07:10 10.872 - a ------ C: \ WINDOWS \ system32 \ drivers \ AvgAsCln.sys
2008-01-20 16:39. 2008-01-20 16:39 86.144 - a ------ C: \ WINDOWS \ system32 \ drivers \ ALCXWDMM.sys
2008-01-12 16:25. 2008-01-12 16:25 <DIR> d -------- C: \ Program Files \ Electronic Arts
2008-01-12 15:11. 2005-06-24 16:24 438.272-ra ------ C: \ WINDOWS \ system32 \ vp6vfw.dll
2008-01-12 15:11. 2004-12-10 09:06 327.680 - a ------ C: \ WINDOWS \ system32 \ vp6dec.ax
2008-01-12 15:06. 2008-01-12 15:20 <DIR> d - h ----- C: \ WINDOWS \ msdownld.tmp
2008-01-10 19:21. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ uTorrent
2008-01-10 19:01. 2008-01-10 19:21 <DIR> d -------- C: \ Program Files \ megamaps
2008-01-08 22:43. 2008-01-10 19:30 <DIR> d -------- C: \ Program Files \ Guitar Pro 5
2008-01-06 05:19. 2008-01-06 05:19 <DIR> d -------- C: \ Program Files \ Power Tab Software
2008-01-03 22:31. 2008-01-03 22:31 <DIR> d -------- C: \ AeriaGames
2008-01-03 21:30. 2008-01-12 21:55 <DIR> d -------- C: \ UnrealTournament
2007-12-25 14:25. 2007-12-28 16:53 90 - a ------ C: \ WINDOWS \ RCAMPEG4VC.ini
2007-12-25 14:18. 2006-09-13 14:52 561.152 - a ------ C: \ WINDOWS \ system32 \ xvidcore.dll
2007-12-25 14:18. 2006-09-13 15:01 237.568 - a ------ C: \ WINDOWS \ system32 \ xvidvfw.dll
2007-12-25 14:18. 2005-12-30 15:34 2.864 - a ------ C: \ WINDOWS \ system32 \ xvid.inf
2007-12-25 14:17. 2007-12-25 14:17 <DIR> d -------- C: \ Program Files \ RCA
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 20:59 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-01-17 00:48 --------- d ----- w C: \ Program Files \ Yahoo!
2008-01-16 01:15 --------- d ----- w C: \ Program Files \ Lx_cats
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ Xfire
2008-01-11 00:21 --------- d ----- w C: \ Program Files \ LimeWire
2007-12-22 10:47 --------- d ----- w C: \ Program Files \ DriftCity
2007-12-20 07:35 --------- d ----- w C: \ Program Files \ Sierra On-Line
2007-12-18 08:02 --------- d ----- w C: \ Program Files \ NHN USA
2007-12-17 21:17 --------- d ----- w C: \ Program Files \ Bethesda Softworks
2007-12-05 04:14 --------- d ----- w C: \ Program Files \ SlySoft
2007-12-03 03:06 --------- d ----- w C: \ Program Files \ TGTSoft
2007-11-25 18:18 --------- d ----- w C: \ Program Files \ Common Files \ Sonic Shared
2007-11-22 05:03 --------- d ----- w C: \ Program Files \ Cliprex DVD Professional
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Uwaga * puste wpisy & legit domyślne wpisy nie są wyświetlane
REGEDIT4
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 07:00 15360]
"DAEMON Tools" = "C: \ Program Files \ DAEMON Tools \ daemon.exe" [2007-08-29 10:09 171464]
"Yahoo! Pager" = "C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe" [2007-08-30 17:43 4670704]
"SUPERAntiSpyware" = "C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"SoundMan" = "SOUNDMAN.EXE" [2006-11-16 16:42 577536 C: \ WINDOWS \ SOUNDMAN.EXE]
"ATICCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ cli.exe" [2005-08-12 13:43 45056]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe" [2007-09-25 01:11 132496]
"iTunesHelper" = "C: \ Program Files \ iTunes \ iTunesHelper.exe" [2007-09-26 13:42 267064]
"CloneCDTray" = "C: \ Program Files \ SlySoft \ CloneCD \ CloneCDTray.exe" [2006-09-28 14:21 57344]
"AVG7_CC" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe" [2008-01-20 17:18 579072]
"! AVG Anti-Spyware" = "C: \ Program Files \ Grisoft \ AVG Anti-Spyware 7.5 \ avgas.exe" [2007-06-11 04:25 6731312]
"LXCFCATS" = "C: \ WINDOWS \ System32 \ spool \ DRIVERS \ W32X 86 \ 3 \ LXCFtime.dll" [2005-07-20 12:47 73728]
[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"AVG7_Run" = "C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe" [2008-01-20 17:18 219136]
C: \ Documents and Settings \ All Users \ Menu Start \ Programy \ Autostart \
Wireless Configuration Utility HW.15.lnk - C: \ Program Files \ TRENDnet \ TRENDnet TEW-421PC_TEW-423PI \ WlanCU.exe [2007-01-30 13:57:42 577536]
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ policies \ system]
"DisableRegistryTools" = 0 (0x0)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ shellexecutehooks]
"(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon]
"UIHost" = "LogonUI.EXE"
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Notify \! SASWinLogon]
C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll 2007-04-19 13:41 294912 C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
[HKLM \ ~ \ startupfolder \ C: ^ Documents and Settings ^ All Users ^ Menu Start ^ Programy ^ Autostart ^ Sonic CinePlayer Quick Launch.lnk]
path = C: \ Documents and Settings \ All Users \ Menu Start \ Programy \ Autostart \ Sonic CinePlayer Quick Launch.lnk
backup = C: \ WINDOWS \ pss \ Sonic CinePlayer Launch.lnkCommon Quick Startup
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ igndlm.exe]
C: \ Program Files \ Download Manager \ DLM.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ MSMSGS]
--------- 2004-10-13 11:24 1694208 C: \ Program Files \ Messenger \ msmsgs.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ QuickTime Task]
- a ------ 2007-06-29 05:24 286720 C: \ Program Files \ QuickTime \ qttask.exe
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ SBCSTray]
C: \ Program Files \ Sunbelt Software \ CounterSpy \ SBCSTray.exe
R0 videX32; videX32; C: \ WINDOWS \ system32 \ DRIVERS \ videX3 2.sys [2006-10-17 07:22]
R0 xfilt; VIA SATA IDE Hot-plug Driver; C: \ WINDOWS \ system32 \ DRIVERS \ xfilt.sys [2006-10-18 04:39]
R1 ALCXWDMM; ALCXWDMM; C: \ WINDOWS \ system32 \ drivers \ ALCX WDMM.sys [2008-01-20 16:39]
R1 Cinemsup; Cinemsup; C: \ WINDOWS \ system32 \ drivers \ cine msup.sys [2002-07-19 09:10]
R3 odysseyIM3; Odyssey Network Services Miniport; C: \ WINDOWS \ system32 \ DRIVERS \ odysseyIM3.sy s [2007-08-17 20:35]
S3 rtl8180; Realtek RTL8180 Wireless LAN (Mini-) PCI NIC NT Driver; C: \ WINDOWS \ system32 \ DRIVERS \ RTL8180.SYS [2003-12-30 12:20]
S3 SetupNTGLM7X; SetupNTGLM7X D: \ NTGLM7X.sys []
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ curre ntversion \ Explorer \ mountpoints2 \ (5ed3c7c1-4bdf-11dc-8daa-806d6172696f)]
\ Shell \ AutoRun \ command - D: \ Autorun.exe

[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804)]
C: \ WINDOWS \ system32 \ vsc32.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - Rootkit / stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 00:37:48
Windows 5.1.2600 Service Pack 2 dla systemu plików NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych autostart entries ...
skanowanie ukrytych plików ...
skanowanie zakończone pomyślnie
ukryte pliki: 0
************************************************** ************************
.
Zakończenie time: 2008-01-22 0:42:14 - został uruchomiony ponownie maszyny
ComboFix-kwarantannę-files.txt 2008-01-22 05:42:10
.
2008-01-11 00:38:07 --- EOF ---

**evilfantasy** · #8 21 stycznia 2008, 22:57

Pobierz teraz W drodze Swandog46 AvengerI zapisz go na pulpicie.

Wyciąg z avenger.exe Zip pliku i zapisz go na pulpicie
Uruchom avenger.exe przez dwukrotne kliknięcie na nim.
Sprawdź Wejście skrypt ręcznie polu.
Kliknij na ikonę lupy, które zostanie otwarte nowe okno zatytułowane Wyświetl / edytuj skrypt
Kopiuj wszystko Codee w polu poniżej i wklej go w oknie, które zostanie otwarte:

Kod:

Foldery do usunięcia: C: \ Temp \ tn3 Pliki do usunięcia: C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk usunąć klucze rejestru: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267 - DB51-0008-030706070804)

Uwaga: powyższy cytat został stworzony specjalnie dla tego użytkownika. Jeśli nie jesteś tego użytkownika, nie spełnia tych kierunkach, ponieważ mogą one uszkodzić twój system funkcjonowania

Teraz kliknij "Zrobione"Guzik.
Kliknij na Green Light i OK wierszu.
Pojawi się monit o ponowne uruchomienie, kliknij przycisk OK na szybkie i restarcie komputera powinien, jeśli nie, to reboot siebie.
A plik z Avenger będzie produkowane w C: \ avenger.txt

Mściciel automatycznie wykonać następujące czynności:

Będzie Uruchom ponownie komputer. (W przypadku, gdy wykonanie kodu zawiera "Sterowniki do Zwolnij"The Avenger faktycznie zrestartować system dwukrotnie.)
Na ponowne uruchomienie komputera, to na krótko otwórz okno polecenia czarny na pulpicie, jest to normalne.
Po ponownym uruchomieniu go tworzy plik który powinien otworzyć z wynikami Avenger działań.

Ten plik zostanie umieszczony na C: \ avenger.txt

The Avenger będzie również kopii zapasowych wszystkich plików, itp., że poprosił go, aby usunąćI będzie miał spakowany i przeniesiono je do archiwum zip do katalogu C: \ mściciel \ backup.zip.

Proszę załączyć w C: \ avenger.txt w następnym post.

----------

Następna wiadomość
Avenger log

**Psychaospath** · #9 21 stycznia 2008, 23:09

ok here u go, nadal pop btw.

Logfile The Avenger version 1, przez Swandog46
Uruchamianie z klucza rejestru:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ hptxmheu
*******************
Skrypt znajduje się w pliku: wqwsrviw
Nie można otworzyć pliku skryptu! Błąd
Nie można otworzyć pliku skryptu! Status: 0xc000003b Abort!

**Psychaospath** · #10 21 stycznia 2008, 23:16

Oops my bad i redid to, cuz dziennika didnt spojrzeć w prawo, i najwyraźniej i didnt prawo zrobić coś po raz pierwszy, heres nowego dziennika. oh i nadal istnieją pop.

Logfile The Avenger version 1, przez Swandog46
Uruchamianie z klucza rejestru:
\ Registry \ Machine \ System \ CurrentControlSet \ Service s \ mkawvjax
*******************
Skrypt znajduje się w pliku: \? \ C: \ WINDOWS \ system32 \ ygueewld.txt
Skrypt otwarty pomyślnie.
Skrypt przeczytać pomyślnie
Backups pomyślnie otwarty katalog C: \ Avenger
*******************
Początek procesu do pliku skryptu:
Folderu C: \ Temp \ tn3 usunięta.
Plik C: \ WINDOWS \ system32 \ drivers \ core.cache.dsk usunięta.
Kluczu rejestru HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Active Setup \ Installed Components \ (2352721C-2267-DB51-0008-030706070804) usunięta.
Uzupełnione skrypt przetwarzania.
*******************
Finished! Terminate.