Autorun проблеми

Zephiron · #1 13 лютого 2008, 23:35

Гей,
У мене та ж проблема, dgethin. Я буду проводки ComboFix HJT та журнали вранці.

**evilfantasy** · #2 14 лютого 2008, 09:53

Будь ласка, використовуйте потоку і видалення шкідливих програм не працюють інакше, ніж якщо просили.
http://www.computer-juice.com/forums...-posting-7476/

Zephiron · #3 16 лютого 2008, 19:14

Я пробував все програмне забезпечення на потік, і не мали результату. Коли я почала XP, Sygate спливаюче говорив:

C: \\ Documents і Settings \\ Alex \\ Local Settings \\ Temp \\ ir_ext_temp_19 \\ autorun.exe намагається підключитися до update.ath.cx [85.88.12.29] за допомогою віддаленого порту 80 [HTTP - World Wide Web]. Ви хочете, щоб ця програма для доступу в мережу?

Zephiron · #4 16 лютого 2008, 19:37

Нехтування мій попередній пост в даний час, будь ласка.
Мабуть, припинилися після того як я побіг SmitfraudFix.exe

**evilfantasy** · #5 17 лютого 2008, 09:33

Без журналах я не можу бачити, що відбувається. Будь ласка, пост журналу HijackThis.

Zephiron · #6 17 лютого 2008, 10:40

Нічого, SmitfraudFix.exe не працює, але після запуску SDFix, здається, припинилися.

Logfile від Trend Micro HijackThis v2.0.2
Сканування збережені в 12:38:28 PM, за 2/17/2008
Платформа: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot Mode: Normal

Запущені процеси:
C: \\ WINDOWS \\ System32 \\ smss.exe
C: \\ WINDOWS \\ system32 \\ winlogon.exe
C: \\ WINDOWS \\ system32 \\ services.exe
C: \\ WINDOWS \\ system32 \\ lsass.exe
C: \\ WINDOWS \\ system32 \\ Ati2evxx.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ Program Files \\ Sygate \\ SPF \\ SMC.EXE
C: \\ WINDOWS \\ system32 \\ ACS.exe
C: \\ WINDOWS \\ system32 \\ spoolsv.exe
C: \\ WINDOWS \\ explorer.exe
C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe
C: \\ Program Files \\ Apoint2K \\ Apoint.exe
C: \\ Program Files \\ TOSHIBA \\ Power Управління \\ CePMTray.exe
C: \\ WINDOWS \\ system32 \\ rundll32.exe
C: \\ Program Files \\ Reader 8.0 \\ Reader \\ Reader_sl.exe
C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.EXE
C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe
C: \\ Program Files \\ NOD32 \\ nod32kui.exe
C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe
C: \\ Program Files \\ ITunes \\ iTunesHelper.exe
C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe
C: \\ WINDOWS \\ system32 \\ ctfmon.exe
C: \\ WINDOWS \\ system32 \\ RAMASST.exe
C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe
C: \\ Program Files \\ Apoint2K \\ Apntex.exe
C: \\ Program Files \\ Common Files \\ Apple \\ Mobile Device Support \\ bin \\ AppleMobileDeviceService.exe
C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ guard.exe
C: \\ Program Files \\ TOSHIBA \\ Power Управління \\ CeEPwrSvc.exe
C: \\ WINDOWS \\ system32 \\ DVDRAMSV.exe
C: \\ WINDOWS \\ system32 \\ E_S00RP1.EXE
C: \\ Program Files \\ NOD32 \\ nod32krn.exe
C: \\ Program Files \\ IPod \\ Bin \\ iPodService.exe
C: \\ WINDOWS \\ system32 \\ svchost.exe
C: \\ WINDOWS \\ system32 \\ wuauclt.exe
C: \\ Program Files \\ Mozilla Thunderbird \\ thunderbird.exe
C: \\ PROGRA ~ 1 \\ MOZILL ~ 1 \\ firefox.exe
C: \\ Program Files \\ Trend Micro \\ HijackThis \\ sniper.exe

O2 - BHO: Adobe PDF Reader Посилання Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \\ Program Files \\ Common Files \\ Acrobat \\ ActiveX \\ AcroIEHelper.dll
O2 - BHO: Spybot-S & D наприклад, захист - (53707962-6F74-2D53-2644-206D7942484F) - C: \\ PROGRA ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
O2 - BHO: SSVHelper клас - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
O2 - BHO: (без назви) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (немає файлу)
O4 - HKLM \\ .. \\ Run: [ATIPTA] C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe
O4 - HKLM \\ .. \\ Run: [Apoint] C: \\ Program Files \\ Apoint2K \\ Apoint.exe
O4 - HKLM \\ .. \\ Run: [CeEPOWER] C: \\ Program Files \\ TOSHIBA \\ Power Управління \\ CePMTray.exe
O4 - HKLM \\ .. \\ Run: [BluetoothAuthenticationAgent] rundll32.exe команду bthprops.cpl, BluetoothAuthenticationAgent
O4 - HKLM \\ .. \\ Run: [Adobe Reader Speed Launcher] "C: \\ Program Files \\ Reader 8.0 \\ Reader \\ Reader_sl.exe"
O4 - HKLM \\ .. \\ Run: [SmcService] C: \\ PROGRA ~ 1 \\ Sygate \\ SPF \\ SMC.EXE-startgui
O4 - HKLM \\ .. \\ Run: [\\ \\ БАТЬКІВ \\ EPSON Stylus CX4800 Series] C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.EXE / п36 "\\ \\ БАТЬКІВ \\ EPSON Stylus CX4800 серії" / O6 "USB001" / M "Stylus CX4800"
O4 - HKLM \\ .. \\ Run: [Авто EPSON Stylus CX4800 серії про батьків] C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.EXE / P42 "Авто EPSON Stylus CX4800 серії на батьків" / O17 " \\ \\ БАТЬКІВ \\ Printer "/ M" Stylus CX4800 "
O4 - HKLM \\ .. \\ Run: [CTFMON.EXE] C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe "
O4 - HKLM \\ .. \\ Run: [Авто EPSON Stylus CX4800 серії від батьків (копія 1)] C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.EXE / P51 "Авто EPSON Stylus CX4800 серії на батьків (копія 1) "/ O15" \\ \\ БАТЬКІВ \\ Epson "/ M" Stylus CX4800 "
O4 - HKLM \\ .. \\ Run: [nod32kui] "C: \\ Program Files \\ NOD32 \\ nod32kui.exe" / WAITSERVICE
O4 - HKLM \\ .. \\ Run: [(0228e555-4f9c-4E35-a3ec-b109a192b4c2)] C: \\ Program Files \\ Google \\ Gmail Notifier \\ gnotify.exe
O4 - HKLM \\ .. \\ Run: [SansaDispatch] C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe
O4 - HKLM \\ .. \\ Run: [QuickTime Task] "C: \\ Program Files \\ \\ qttask.exe"-atboottime
O4 - HKLM \\ .. \\ Run: [iTunesHelper] "C: \\ Program Files \\ ITunes \\ iTunesHelper.exe"
O4 - HKLM \\ .. \\ Run: [! AVG Anti-Spyware] "C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe" / мінімум
O4 - HKLM \\ .. \\ Run: [CTFMON.EXE] C: \\ WINDOWS \\ system32 \\ ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe
O4 - Startup: RAMASST.lnk = C: \\ WINDOWS \\ system32 \\ RAMASST.exe
O9 - Додаткові кнопки: (без назви) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
O9 - Сервіс "MENUITEM Extra ': Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ ssv.dll
O9 - Додаткові кнопки: (без назви) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \\ PROGRA ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
O9 - Сервіс "MENUITEM Extra ': Spybot - Search & Destroy Конфігурація - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \\ PROGRA ~ 1 \\ Spybot ~ 1 \\ SDHelper.dll
O9 - Додаткові кнопки: (без назви) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \\ WINDOWS \\ Network Diagnostic \\ xpnetdiag.exe
O9 - Сервіс "MENUITEM Extra ': @ Xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \\ WINDOWS \\ Network Diagnostic \\ xpnetdiag.exe
O9 - Додаткові кнопки: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \\ Program Files \\ Messenger \\ msmsgs.exe
O9 - Сервіс "MENUITEM Extra ': Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \\ Program Files \\ Messenger \\ msmsgs.exe
O16 - DPF: (644E432F-41A1-49D3-8DD5-E099162EEEC5) (Symantec RuFSI службовий клас) -- http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \\ PROGRA ~ 1 \\ COMMON ~ 1 \\ Skype \\ SKYPE4 ~ 1.dll
O23 - Service: Ad-Aware 2007 обслуговування (aawservice) - Lavasoft - C: \\ Program Files \\ Lavasoft \\ Ad-Aware 2007 \\ aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Невідомий власник - C: \\ WINDOWS \\ system32 \\ ACS.exe
O23 - Service: Apple Mobile Device - Apple, Inc - C: \\ Program Files \\ Common Files \\ Apple \\ Mobile Device Support \\ bin \\ AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown власник - C: \\ WINDOWS \\ system32 \\ Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT СРО - C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ guard.exe
O23 - Service: CeEPwrSvc - КОМПАН ЕЛЕКТРОННІ вкл. - C: \\ Program Files \\ TOSHIBA \\ Power Управління \\ CeEPwrSvc.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Ко, Лтд - C: \\ WINDOWS \\ system32 \\ DVDRAMSV.exe
O23 - Service: EPSON V3 Service2 (03) (EPSON_PM_RPCV2_01) - SEIKO EPSON Corporation - C: \\ WINDOWS \\ system32 \\ E_S00RP1.EXE
O23 - Service: Ipod послуг - Корпорація Apple - C: \\ Program Files \\ IPod \\ Bin \\ iPodService.exe
O23 - Service: NOD32 служби ядра (NOD32krn) - Eset - C: \\ Program Files \\ NOD32 \\ nod32krn.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc - C: \\ Program Files \\ Sygate \\ SPF \\ SMC.EXE

--
Кінець файлу - 6838 байт

**evilfantasy** · #7 17 лютого 2008, 11:52

Відкрите Hijackthis і виберіть Виконайте перевірку системи тільки.

Встановіть прапорець поруч із наступні позиції: (якщо є)

O2 - BHO: (без назви) - (7E853D72-626A-48EC-A868-BA8D5E23E045) - (немає файлу)

Важливо: Закрийте всі вікна, крім Hijackthis а потім натисніть кнопку Фікс перевірили.

Вихід HijackThis.

----------

Будь ласка, скачайте Combofix SUBS по одній з наступних посилань.
(Спробуйте всі три, якщо це необхідно)

Увага! Combofix.exe ПОВИННІ буде збережений і вибіг з Desktop.

Закрийте всі відкриті веб-браузерів. (Firefox, Internet Explorer, і т.д.) перед початком Combofix.
Увага! Тимчасово вимикати ваш антивірусні, блокування сценаріїв і будь-які антішпіонское реальний захист час перш сканування с.
- Натисніть Посилання щоб побачити список програм забезпечення безпеки, яка повинна бути відключена і як їх відключити.
- Якщо у вас немає в списку, і ви не знаєте, як відключити його, будь ласка, запитайте.
Попередження: Combofix відключення комп'ютера з Інтернетом. Підключення автоматично відновлено до Combofix завершує свій біг.
Двомісні combofix.exe натисніть & виконайте вказівки на екрані.
- З клавіатури виберіть 1 та натисніть Увійти
Коли закінчили, вона буде виробляти журнал для вас.
Пост ", що увійти ваш наступний відповідь.

Попередження: Чи не MouseClick ComboFix вікном під час його роботи. Це може призвести до її зрив

Якщо Combofix стикається з труднощами і закінчується передчасно, з'єднання може бути відновлений вручну перезавантажити комп'ютер.
Важливо: Пам'ятайте, щоб знову включити антивірусні та антишпигунські Перед повторним підключенням до Інтернету.

----------

Перейди C: \\ SDFix і після Report.txt сюди разом з Combofix журналу.

Zephiron · #8 17 лютого 2008, 13:38

ComboFix 08-02-17.2 - Alex 2008-02-17 15:33:29.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.984 [GMT -5:00]
Running From: C: \\ Documents і Settings \\ Alex \\ Desktop \\ ComboFix.exe
* Створена нова точка відновлення
.

((((((((((((((((((((((((( Фото, створених з 2008-01-17 до 2008-02-17 ))))))))))) ))))))))))))))))))))
.

2008-02-16 22:53. 2008-02-16 22:53 <DIR> D -------- C: \\ WINDOWS \\ ERUNT
2008-02-16 21:19. 2008-02-16 21:25 4706 - ------ C: \\ WINDOWS \\ system32 \\ tmp.reg
2008-02-14 21:38. 2008-02-14 21:38 <DIR> D -------- C: \\ Program Files \\ Shareaza
2008-02-14 21:38. 2008-02-14 21:38 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ Shareaza
2008-02-14 18:39. 2008-02-14 18:39 <DIR> D -------- C: \\ Documents і Settings \\ All Users \\ Application Data \\ Grisoft
2008-02-14 18:39. 2008-02-14 18:39 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ Grisoft
2008-02-14 18:39. 2007-05-30 07:10 10872 - ------ C: \\ WINDOWS \\ System32 \\ Drivers \\ AvgAsCln.sys
2008-02-14 18:38. 2008-02-14 18:39 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\. SunDownloadManager
2008-02-14 18:00. 2008-02-14 18:00 <DIR> D -------- C: \\ Program Files \\ Lavasoft
2008-02-14 18:00. 2008-02-14 18:01 <DIR> D -------- C: \\ Documents і Settings \\ All Users \\ Application Data \\ Lavasoft
2008-02-14 17:08. 2008-02-14 17:08 <DIR> D -------- C: \\ Program Files \\ Trend Micro
2008-02-14 17:00. 2008-02-14 17:00 <DIR> D -------- C: \\ Program Files \\ VS Revo групи
2008-02-14 16:26. 2008-02-14 16:26 <DIR> D -------- C: \\ Program Files \\ CCleaner
2008-02-14 01:27. 2008-02-14 01:27 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ DoctorWeb
2008-02-12 01:17. 2007-11-05 16:34 15760 - ------ C: \\ WINDOWS \\ system32 \\ iviaspi.sys
2008-02-12 00:58. 2008-02-14 16:23 <DIR> D -------- C: \\ Program Files \\ Any Video Converter
2008-02-12 00:58. 2008-02-14 16:23 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ Any Video Converter
2008-02-12 00:44. 2008-02-14 16:24 <DIR> D -------- C: \\ Documents і Settings \\ All Users \\ Application Data \\ River Past G5
2008-02-12 00:44. 2008-02-14 16:24 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ River Past G5
2008-02-12 00:34. 2008-02-12 00:34 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ ArcSoft
2008-02-12 00:16. 2008-02-14 16:24 <DIR> D -------- C: \\ Program Files \\ NCH Software
2008-02-12 00:16. 2008-02-12 00:16 <DIR> D -------- C: \\ Documents і Settings \\ All Users \\ Application Data \\ NCH Software
2008-02-11 23:21. 2008-02-11 23:21 <DIR> D -------- C: \\ Program Files \\ IPod
2008-02-11 23:21. 2008-02-17 15:18 54156 - А ----- C: \\ WINDOWS \\ QTFont.qfn
2008-02-11 23:21. 2008-02-11 23:21 1409 - ------ C: \\ WINDOWS \\ QTFont.for
2008-02-11 23:20. 2008-02-11 23:21 <DIR> D -------- C: \\ Program Files \\ ITunes
2008-02-11 23:18. 2008-02-11 23:19 <DIR> D -------- C: \\ Program Files \\
2008-02-08 19:38. 2008-02-08 19:38 <DIR> D -------- C: \\ Program Files \\ Mp3tag
2008-02-08 19:38. 2008-02-08 19:48 <DIR> D -------- C: \\ Documents і Settings \\ Alex \\ Application Data \\ Mp3tag
2008-02-05 07:30. 2008-02-05 23:28 23392 - ------ C: \\ WINDOWS \\ system32 \\ nscompat.tlb
2008-02-05 07:30. 2008-02-05 23:28 16832 - ------ C: \\ WINDOWS \\ system32 \\ amcompat.tlb
2008-02-05 00:40. 2008-02-05 23:34 <DIR> D -------- C: \\ Bin
2008-02-04 18:48. 2008-02-04 18:48 870128 - ------ C: \\ WINDOWS \\ system32 \\ mcs.rma
2008-02-04 18:48. 2008-02-04 18:48 4 - ------ C: \\ WINDOWS \\ system32 \\ C3F1F0
2008-02-04 18:46. 2008-02-04 18:46 <DIR> D -------- C: \\ Program Files \\ Common Files \\ Real
2008-02-04 18:46. 2008-02-04 18:46 8413 - ------ C: \\ WINDOWS \\ System32 \\ Drivers \\ mcstrm.sys
2008-02-04 18:45. 2008-02-04 18:45 <DIR> D -------- C: \\ Program Files \\ Real
2008-02-04 18:11. 2008-02-12 01:16 <DIR> D -------- C: \\ Program Files \\ SanDisk
2008-02-04 17:47. 2004-08-03 18:56 221184 - ------ C: \\ WINDOWS \\ system32 \\ wmpns.dll
2008-02-04 17:39. 2008-02-05 23:32 <DIR> D -------- C: \\ WINDOWS \\ System32 \\ Drivers \\ UMDF
2008-02-01 14:42. 2008-02-01 14:40 691545 - ------ C: \\ WINDOWS \\ unins000.exe
2008-02-01 14:42. 2008-02-01 14:42 3440 - ------ C: \\ WINDOWS \\ unins000.dat
2008-01-31 23:13. 2008-01-31 23:13 90112 - ------ C: \\ WINDOWS \\ system32 \\ QuickTimeVR.qtx
2008-01-31 23:13. 2008-01-31 23:13 57344 - ------ C: \\ WINDOWS \\ system32 \\ QuickTime.qts
2008-01-26 20:11. 2008-02-16 16:49 <DIR> D -------- C: \\ Program Files \\ Steam
2008-01-25 17:25. 2008-01-28 20:17 <DIR> D -------- C: \\ Program Files \\ Common Files \\ Blizzard Entertainment

.
(((((((((((((((((((((((((((((((((((((((( Find3M Доповідь )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 17:46 --------- D ----- W C: \\ Program Files \\ Mozilla Thunderbird
2008-02-17 04:53 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\. Purple
2008-02-15 03:05 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\ LimeWire
2008-02-14 22:59 --------- D ----- W C: \\ Program Files \\ Common Files \\ Wise Installation майстри
2008-02-12 06:16 --------- D - H - W C: \\ Program Files \\ InstallShield Installation Information
2008-02-12 04:20 --------- D ----- W C: \\ Documents і Settings \\ All Users \\ Application Data \\ Apple Computer
2008-02-11 12:37 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\ openoffice.org2
2008-02-09 00:12 --------- D ----- W C: \\ Program Files \\ NOD32
2008-02-06 04:17 --------- D ----- W C: \\ Program Files \\ Windows Media Connect 2
2008-02-04 22:55 --------- D ----- W C: \\ Program Files \\ Last.fm
2008-02-01 19:44 --------- D ----- W C: \\ Documents і Settings \\ All Users \\ Application Data \\ Spybot - Search & Destroy
2008-02-01 19:43 --------- D ----- W C: \\ Program Files \\ Spybot - Search & Destroy
2008-02-01 01:29 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\ GTK-2.0
2008-01-19 02:24 --------- D ----- W C: \\ Program Files \\ DivX
2008-01-07 00:47 --------- D ----- W C: \\ Program Files \\ NCSoft
2008-01-07 00:45 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\ InstallShield
2007-12-26 19:43 --------- D ----- W C: \\ Program Files \\ Guitar Pro 5
2007-12-26 19:02 715248 ---- AW C: \\ WINDOWS \\ System32 \\ Drivers \\ sptd.sys
2007-12-25 04:58 --------- D ----- W C: \\ Documents і Settings \\ Alex \\ Application Data \\ Apple Computer
2007-12-25 04:56 --------- D ----- W C: \\ Program Files \\ Common Files \\ Apple
2007-12-18 09:51 179584 ---- AW C: \\ WINDOWS \\ System32 \\ Drivers \\ mrxdav.sys
2007-12-14 16:32 12632 ---- AW C: \\ WINDOWS \\ system32 \\ lsdelete.exe
2007-12-07 02:21 824832 ---- AW C: \\ WINDOWS \\ system32 \\ Wininet.dll
2007-12-04 18:38 550912 ---- AW C: \\ WINDOWS \\ system32 \\ Oleaut32.dll
2007-11-29 22:30 200,704 ---- AW C: \\ WINDOWS \\ system32 \\ ssldivx.dll
2007-11-29 22:30 1044480 ---- AW C: \\ WINDOWS \\ system32 \\ libdivx.dll
.

((((((((((((((((((((((((((((((((((((( Reg пунктів навантаження )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Примітка * & порожніх записів Legit Записи за замовчуванням не відображаються
REGEDIT4

[HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"Ctfmon.exe" = "C: \\ WINDOWS \\ system32 \\ ctfmon.exe" [2004-08-03 18:56 15360]

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"ATIPTA" = "C: \\ Program Files \\ ATI Technologies \\ ATI Control Panel \\ atiptaxx.exe" [2004-04-21 20:10 335872]
"Apoint" = "C: \\ Program Files \\ Apoint2K \\ Apoint.exe" [2003-10-30 15:46 192512]
"CeEPOWER" = "C: \\ Program Files \\ TOSHIBA \\ Power Управління \\ CePMTray.exe" [2004-05-20 09:21 135168]
"BluetoothAuthenticationAgent" команду bthprops.cpl = "" [2004-08-03 23:56 110592 C: \\ WINDOWS \\ system32 \\ команду bthprops.cpl]
"Adobe Reader Speed Launcher" = "C: \\ Program Files \\ Reader 8.0 \\ Reader \\ Reader_sl.exe" [2007-10-10 19:51 39792]
"SmcService" = "C: \\ PROGRA ~ 1 \\ Sygate \\ SPF \\ SMC.EXE" [2004-10-15 18:40 2577632]
"\\ \\ БАТЬКІВ \\ EPSON Stylus CX4800 серії" = "C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"Авто EPSON Stylus CX4800 серії про батьків" = "C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"SunJavaUpdateSched" = "C: \\ Program Files \\ Java \\ jre1.6.0_03 \\ bin \\ jusched.exe" [2007-09-25 00:11 132496]
"Авто EPSON Stylus CX4800 серії від батьків (копія 1)" = "C: \\ WINDOWS \\ System32 \\ Spool \\ DRIVERS \\ W32X86 \\ 3 \\ E_FATIADA.exe" [2005-02-01 14:00 98304]
"nod32kui" = "C: \\ Program Files \\ NOD32 \\ nod32kui.exe" [2007-09-22 19:28 949376]
"(0228e555-4f9c-4E35-a3ec-b109a192b4c2)" = "C: \\ Program Files \\ Google \\ Gmail Notifier \\ gnotify.exe" [2005-07-15 16:48 479232]
"SansaDispatch" = "C: \\ Program Files \\ SanDisk \\ Sansa Updater \\ SansaDispatch.exe" [2007-10-22 12:52 75584]
"QuickTime Task" = "C: \\ Program Files \\ \\ qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper" = "C: \\ Program Files \\ ITunes \\ iTunesHelper.exe" [2008-02-04 14:18 267048]
"! AVG Anti-Spyware" = "C: \\ Program Files \\ Grisoft \\ AVG Anti-Spyware 7.5 \\ avgas.exe" [2007-06-11 04:25 6731312]

C: \\ Documents і Settings \\ Alex \\ Start Menu \\ Programs \\ Startup \\
Last.fm Helper.lnk - C: \\ Program Files \\ Last.fm \\ LastFMHelper.exe [2007-11-23 20:41:24 106496]

C: \\ Documents і Settings \\ All Users \\ Start Menu \\ Programs \\ Startup \\
RAMASST.lnk - C: \\ WINDOWS \\ system32 \\ RAMASST.exe [2007-05-17 19:28:25 155648]

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Shared Tools \\ MSConfig \\ startupreg \\ iTunesHelper]
- ------ 2008-02-04 14:18 267048 C: \\ Program Files \\ ITunes \\ iTunesHelper.exe

R1 ECioctl; ECioctl C: \\ WINDOWS \\ system32 \\ drivers \\ ECioctl.sys [2004-05-06 12:40]

.
Вміст папки "Призначені завдання" '
"2008-02-12 04:12:01 C: \\ WINDOWS \\ Tasks \\ AppleSoftwareUpdate.job"
- C: \\ Program Files \\ Apple Software Update \\ SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-02-17 15:36:26
Windows 5.1.2600 Service Pack 2 NTFS

Сканування приховані процеси ...

Сканування приховані Autostart записів ...

Сканування приховані файли ...

Перевірка успішно завершена
приховані файли: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run]
"\\ \\ \\ \\ Батьків \\ \\ EPSON Stylus CX4800 серії" = "C: \\ \\ WINDOWS \\ \\ System32 \\ Spool \\ \\ DRIVERS \\ \\ W32X86 \\ \\ 3 \\ \\ E_FATIADA.EXE / п36 \\" \\ \\ \\ \\ БАТЬКІВ \\ \\ EPSON Stylus CX4800 серії \\ "/ O6 \\" USB001 "/ M \\" Stylus CX4800 \\ ""
.
Час закінчення 2008-02-17 15:37:28
ComboFix-карантин-files.txt 2008-02-17 20:37:03
ComboFix2.txt 2008-02-01 18:40:13
.
2008-02-12 22:03:35 --- EOF ---

SDFix: Версія 1.143

Запуск Алекса про СБ 02/16/2008 в 10:55 вечора

Microsoft Windows XP [Версія 5.1.2600]
Running From: C: \\ DOCUME ~ 1 \\ Alex \\ Desktop \\ SDFix

Перевірка послуги:

Відновлення реєстру Windows значення
Відновлення Windows за замовчуванням файлу Hosts

Перезавантаження ...

Перевірка файлів:

Ні Trojan знайдених файлів

Видалення тимчасових файлів ...

ADS Перевірити:

Остання перевірка:

catchme 0.3.1344.2 W2K/XP/Vista - Rootkit / Stealth Malware детектора GMER, http://www.gmer.net
Rootkit сканування 2008-02-16 23:03:09
Windows 5.1.2600 Service Pack 2 NTFS

Сканування приховані процеси ...

сканування прихованих сервісів & системний кущ ...

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = HEX: 08,4 A, AB, 4E, CB, 87, DB, 38,85, B9, 06,40, ЄС, 97,25,75
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = Hex: f3, 31,90,9 F, 77,92,3, 67, C8, C7, 14, DC, 15,5 D, 94, F8
[HKEY_LOCAL_MACHINE \\ SYSTEM \\ ControlSet001 \\ Services \\ SPTD \\ Cfg \\ 0D79C293C1ED61418462E24595C90D04]
"p0" = "C: \\ Program Files \\ Алкоголь Soft \\ Alcohol 120 \\"
"H0" = DWORD: 00000000
"ujdew" = HEX: 71,01,87,6, A3, Б.Ф., оголошення, CA, 49,9 B, DC, e8, d8, 47, a7, 01, фа, 07,8 F, 86,2 D, ..
[HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = HEX: 08,4 A, AB, 4E, CB, 87, DB, 38,85, B9, 06,40, ЄС, 97,25,75
[HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = Hex: f3, 31,90,9 F, 77,92,3, 67, C8, C7, 14, DC, 15,5 D, 94, F8
[HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ SPTD \\ Cfg]
"S1" = DWORD: 6f80447f
"S2" = DWORD: a6a05479
"H0" = DWORD: 00000001

[HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ SPTD \\ Cfg \\ 0D79C293C1ED61418462E24595C90D04]
"H0" = DWORD: 00000000
"ujdew" = Hex: 91, b0, 10,47,0 B, 98,1 B, EF, 71, b1, DC, 9f, 73, d5, 38, e7, D8, В4, 7b, CE, CC, ..
[HKEY_LOCAL_MACHINE \\ System \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 0400ea440ad8]
[HKEY_LOCAL_MACHINE \\ System \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1000aa440ad8]
"0016cff28996" = HEX: 08,4 A, AB, 4E, CB, 87, DB, 38,85, B9, 06,40, ЄС, 97,25,75
[HKEY_LOCAL_MACHINE \\ System \\ ControlSet004 \\ Services \\ BTHPORT \\ Parameters \\ Keys \\ 1020e84408d8]
"001963092cc5" = Hex: f3, 31,90,9 F, 77,92,3, 67, C8, C7, 14, DC, 15,5 D, 94, F8
[HKEY_LOCAL_MACHINE \\ System \\ ControlSet004 \\ Services \\ SPTD \\ Cfg \\ 0D79C293C1ED61418462E24595C90D04]
"H0" = DWORD: 00000000
"ujdew" = Hex: 91, b0, 10,47,0 B, 98,1 B, EF, 71, b1, DC, 9f, 73, d5, 38, e7, D8, В4, 7b, CE, CC, ..

Сканування прихованого запису реєстру ...

[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ перевстановлення \\% \\ XE3 \\ xce \\ 21 \\ XBF \\ XC1 \\ B]
"DisplayName" = ""
"DeviceDesc" = ""
"ProviderName" = ""
"Mfg" = "\\ x435c \\ x6e6f \\ x7274 \\ x6c6f \\ x435c \\ x616c \\ x7373 \\ x745c \\ 2"
"ReinstallString" = "C: \\ WINDOWS \\ System32 \\ ReinstallBackups \\ \\ xe325 \\ x11ce \\ xc1bf \\ б \\ DriverFiles \\ \\ x49c8 \\ 23 \\ x5a00 \\ x7c91 \\ x48b4 \\ 23 \\ x4a54 \\ 23 \\ 1.INF"
"DeviceInstanceIds" = STR (7): "\\ Temp \\ wzse0.tmp \\ SMBus \\ smbusati.inf"
[HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ WindowsUpdate \\ Auto Update]
"ScheduledInstallDate" = "2008-02-15 22:00:00"

Сканування приховані файли ...

Перевірка успішно завершена
приховані процеси: 0
прихований сервіс: 0
приховані файли: 0

Інші послуги:

Уповноважені Клавіша Експорт:

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ SharedAccess \\ Parameters \\ firewallpolicy \\ standardprofile \\ authorizedapplications \\ список]
"C: \\ \\ Program Files \\ \\ ITunes \\ \\ itunes.exe" = "C: \\ \\ Program Files \\ \\ ITunes \\ \\ itunes.exe: *: Enabled: ITunes"

[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ SharedAccess \\ Parameters \\ firewallpolicy \\ domainprofile \\ authorizedapplications \\ список]

Інші файли:

Приховані файли з атрибутами:

Чт 6 вересня 2007 4 А. SHR --- "C: \\ WINOS.SYS"
Пн 28 січня 2008 1404240 А. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ SDUpdate.exe"
Пн 28 січня 2008 5146448 А. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ SpybotSD.exe"
Пн 28 січня 2008 2097488 А. SHR --- "C: \\ Program Files \\ Spybot - Search & Destroy \\ teatimer.exe"
Вт 5 лютого 2008 0 А.Ш. --- "C: \\ Documents і Settings \\ All Users \\ DRM \\ Cache \\ Indiv01.tmp"
Пт 1 лютого 2008 0 A.. H. --- "C: \\ WINDOWS \\ SoftwareDistribution \\ Download \\ 585dc2612ebcefc90e7dee4c276ee95e \\ BIT1B.tmp"
Ср 23 січня 2008 0 A.. H. --- "C: \\ WINDOWS \\ SoftwareDistribution \\ Download \\ 585dc2612ebcefc90e7dee4c276ee95e \\ BIT23.tmp"

Готово!

**evilfantasy** · #9 17 лютого 2008, 14:05

SDFix не знімав нічого, але це було відновити Windows за замовчуванням файлу Hosts, з тим щоб могли бути джерелом проблеми.

Я не бачу ніяких шкідливих програм у журналах.

Ви хочете відкрити Spybot і оновлювати його і запустити імунізації.

Пора зробити деякі очищення і забезпечити роботою, яку Ви зробили на даний момент.

Натисніть ПОЧАТОК тоді RUN
Тепер введіть Combofix / U У runbox
Переконайтеся, що існує прогалина між Combofix і / U
Потім натисніть Увійти.

Ця процедура буде:

Виключити:
- ComboFix та пов'язані з ним файли та папки.
- VundoFix резервні копії, якщо вони присутні
- C: \\ Deckard папки, якщо він присутній
- C: _OtMoveIt папки, якщо він присутній
Скиньте налаштування годин.
Приховувати розширення файлів, якщо це буде потрібно.
Приховувати системні / приховані файли, якщо це буде потрібно.
Встановити новий, чистий Точка відновлення.

Завантажити OTMoveIt2 по Oldtimer OTMoveIt2.exe і розмістити його на вашому робочому столі. (якщо у вас вже є)

1. Двічі клацніть OTMoveIt2.exe запустіть його.
2. Натисніть на Очищення! кнопки.
3. OTMoveIt2 буде завантажити список з Інтернет, якщо ваш брандмауер або інших оборонних програм попереджає Вас, надати йому доступ.
4. Натисніть ТАК на наступному рядку (список завантажили, ви хочете, щоб почати процес очищення?)

Після завершення виходу з OTMoveIt2

Від'їзд Підтримці свого безпечної On The Web Поради безкоштовні утиліти і тримати вас у безпечне майбутнє.

Також див Повільний комп'ютер? Він не може бути шкідливих програм на безкоштовне мийний / інструментів, що допомагають зберегти ваш комп'ютер працює гладко.

Zephiron · #10 17 лютого 2008, 14:26

Добре, зробили. Дякуємо за допомогу!

Подібні нитки
Нитка	Автор теми	Форум	Відповіді	Останнє повідомлення
Автозапуск шкідливих програм?	sungod000	Virus, Spyware & Безпека	5	23 червня 2009 12:14
Panda USB і автозапуску вакцини 1.0.0.19 Beta	evilfantasy	Virus, Spyware & Безпека	0	7 березня 2009 12:47
Автозапуск CD	severntales	Диски & Removable Media	2	13 грудня 2008 00:28
Sygate Personal Firewall (автозапуск проблеми)	dgethin	Virus, Spyware & Безпека	16	7 січня 2008 14:09
КР не буде автозапуску / Autostart	rigisme	Диски & Removable Media	11	18 грудня 2007 14:37

Пристосування для нарізання
Показати Версія для друку Послати сторінку