Лента новостей((

[Аноним]

Помогите пожалуйста!
При запуске Explorera и открытии любой страницы в нем появляется лента новостей,для удаления которой нужно якобы написать смс. Подскажите как ее удалить? Заранее спасибо.Ирина)
Результат сканирования ComboFix:
ComboFix 09-01-13.04 — 007 2009-01-15 1:13:36.1 — FAT32x86
Running from: c:documents and settings007DesktopComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settings007Local SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.jpg
c:documents and settings007Local SettingsTemporary Internet Files101.gif
c:documents and settings007Local SettingsTemporary Internet Files102.gif
c:documents and settings007Local SettingsTemporary Internet Files103.gif
c:documents and settings007Local SettingsTemporary Internet Files104.gif
c:documents and settings007Local SettingsTemporary Internet Files105.gif
c:documents and settings007Local SettingsTemporary Internet Files106.gif
c:documents and settings007Local SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settings007Local SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.jpg
c:documents and settings007Local SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settings007Local SettingsTemporary Internet Files362FD6E8_8CDA_4c2a_A8AA-BDA22B321711.gif
c:documents and settings007Local SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settings007Local SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.gif
c:documents and settings007Local SettingsTemporary Internet Files478BD4AE_2691_438d_BDCA_3485DC022700.gif
c:documents and settings007Local SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.jpg
c:documents and settings007Local SettingsTemporary Internet Files61EA7D69_19D4_421a_A899_0DF4D58CD119.gif
c:documents and settings007Local SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.gif
c:documents and settings007Local SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.gif
c:documents and settings007Local SettingsTemporary Internet Files98F6DF79_7171_452d_9C26_C0193E12DBDF.gif
c:documents and settings007Local SettingsTemporary Internet FilesA2B240D6_0386_419e_91C5_3F7D90437CD0.gif
c:documents and settings007Local SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settings007Local SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:documents and settings007Local SettingsTemporary Internet FilesE9A4D648_ED73_4ea7_88B2_18332DBA4F3E.gif
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:program filesCommon FilesTarget Marketing Agency
c:program filesCommon FilesTarget Marketing AgencyTMAgentaupdate.exe
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensionchrome.manifest
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensionchrometmagent.jar
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensioncomponentsfftma.dll
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensioncomponentsnsIAdHandler.xpt
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensioncomponentsnsISteadway.xpt
c:program filesCommon FilesTarget Marketing AgencyTMAgentextensioninstall.rdf
c:program filesCommon FilesTarget Marketing AgencyTMAgentlicense.txt
c:program filesCommon FilesTarget Marketing AgencyTMAgenttmagent.dll
c:program filesCommon FilesTarget Marketing AgencyTMAgenttmasrv.exe
c:program filesCommon FilesTarget Marketing AgencyTMAgentUninstaller.exe
c:windowsIE4 Error Log.txt

---

BITS: Possible infected sites

---

hxxp://tmaproject.ru
.
((((((((((((((((((((((((( Files Created from 2008-12-14 to 2009-01-14 )))))))))))))))))))))))))))))))
.

2009-01-15 00:28 . 2009-01-15 00:28

d

---

c:program filesMalwarebytes’ Anti-Malware
2009-01-15 00:28 . 2009-01-15 00:28 d

---

c:documents and settingsAll UsersApplication DataMalwarebytes
2009-01-15 00:28 . 2009-01-15 00:28 d

---

c:documents and settings007Application DataMalwarebytes
2009-01-15 00:28 . 2009-01-04 18:38 38,496 —a

---

c:windowssystem32driversmbamswissarmy.sys
2009-01-15 00:28 . 2009-01-04 18:38 15,504 —a

---

c:windowssystem32driversmbam.sys
2009-01-14 22:02 . 2009-01-14 22:02 d

---

c:documents and settings007Application Datarambler.ru
2009-01-14 22:01 . 2009-01-14 22:02 d

---

c:program filesRambler Assistant
2009-01-14 22:01 . 2009-01-14 22:01 d

---

c:documents and settings007Application DataICQ
2009-01-14 21:57 . 2009-01-14 21:57 d

---

c:program filesICQ6.5
2009-01-14 21:56 . 2009-01-14 21:56 322,560 —a

---

c:documents and settingsAll UsersApplication Dataxaelib.dll
2009-01-14 21:36 . 2009-01-14 21:36 d

---

c:documents and settings007Application DataQIP.Online
2009-01-14 21:35 . 2009-01-14 21:35 d

---

c:program filesQIP.Online
2009-01-06 17:44 . 2009-01-06 17:44 8,864 —a

---

c:windowssystem32driversCDAC15BA.SYS
2008-12-29 00:44 . 2008-12-29 00:44 d

---

c:windowsSun
2008-12-19 23:09 . 2008-12-19 23:09 d

---

c:program filesAudacity
2008-12-19 22:54 . 2008-12-19 22:54 d

---

c:documents and settings007libmp3lame-3.97
2008-12-19 22:10 . 2008-12-19 22:10 177 —a

---

c:windowswinamp.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 19:44

---

d

---

w c:documents and settingsAll UsersApplication DataFLEXnet
2008-12-04 19:07

---

d

---

w c:program filesBonjour
2008-12-04 18:57

---

d

---

w c:program filesCommon FilesMacrovision Shared
2008-02-02 12:23 67,696 —-a-w c:program filesmozilla firefoxcomponentsjar50.dll
2008-02-02 12:23 54,376 —-a-w c:program filesmozilla firefoxcomponentsjsd3250.dll
2008-02-02 12:23 34,952 —-a-w c:program filesmozilla firefoxcomponentsmyspell.dll
2008-02-02 12:23 46,720 —-a-w c:program filesmozilla firefoxcomponentsspellchk.dll
2008-02-02 12:23 172,144 —-a-w c:program filesmozilla firefoxcomponentsxpinstal.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{757FF18E-494C-46AC-AF9D-6A6012C315A3}]
2009-01-14 21:56 322560 —a

---

c:documents and settingsAll UsersApplication Dataxaelib.dll

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-09-23 21755688]
«AdobeUpdater»=»c:program filesCommon FilesAdobeUpdater5AdobeUpdater.exe» [2008-09-26 2356088]
«QIP.Online»=»c:program filesQIP.Onlineqiponline.exe» [2008-12-30 3372032]
«ICQ»=»c:program filesICQ6.5ICQ.exe» [2008-11-30 172792]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«CloneCDTray»=»c:program filesSlySoftCloneCDCloneCDTray.exe» [2006-09-28 57344]
«SunJavaUpdateSched»=»c:program filesJavajre1.6.0_05binjusched.exe» [2008-02-22 144784]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2008-01-22 81920]
«LanguageShortcut»=»c:program filesCyberLinkPowerDVDLanguageLanguage.exe» [2007-10-11 62760]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-02-21 91432]
«ccApp»=»c:program filesCommon FilesSymantec SharedccApp.exe» [2008-02-01 115560]
«EPSON Stylus Photo R200 Series»=»c:windowsSystem32spoolDRIVERSW32X863E_S4I0H2.EXE» [2003-09-11 99840]
«SoundMan»=»SOUNDMAN.EXE» [2008-04-28 c:windowssoundman.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccEvtMgr]
@=»Service»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccSetMgr]
@=»Service»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSymantec Antivirus]
@=»Service»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe»=
«c:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE»=
«c:\Program Files\Common Files\Symantec Shared\ccApp.exe»=
«c:\WINDOWS\System32\SPOOL\DRIVERS\W32X86\3\SAGENT4.EXE»=
«c:\Program Files\uTorrent [tfile.ru]\utorrent.exe»=
«c:\CorbinaShadowDC\CorbinaShadowDC.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:program filesCommon FilesSymantec SharedEENGINEEraserUtilRebootDrv.sys [2008-09-24 99376]
R3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2009-01-15 38496]
R4 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:program filesCyberLinkPowerDVD000.fcl [2008-01-30 12:28:36 41456]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [2007-05-29 23888]

— Other Services/Drivers In Memory —

*NewlyCreated* — MBAMSWISSARMY

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0a35fb43-8a23-11dd-b5e8-806d6172696f}]
ShellAutoRuncommand — H:ADOBEPhotoshopCS3r.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b8a13fe6-9191-11dd-b5f1-00155847d99f}]
ShellAutoRuncommand — c:windowssystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Slk11.exe
.
— — — — ORPHANS REMOVED — — — —

SafeBoot-Symantec Antvirus

.

---

Supplementary Scan

---

.
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU5090.dll/search.htm
IE: Опубликовать в Дневнике — c:program filesRambler AssistantramblertoolbarU5090.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU5090.dll/dic.htm
FF — ProfilePath — c:documents and settings007Application DataMozillaFirefoxProfiles6izahlqw.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — hxxp://start.qip.ru
FF — component: c:program filesMozilla Firefoxcomponentsxpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 01:20:43
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001Services{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
«ImagePath»=»??c:program filesCyberLinkPowerDVD000.fcl»
.
Completion time: 2009-01-15 1:25:18
ComboFix-quarantined-files.txt 2009-01-14 22:25:12

Pre-Run: 4я777я541я632 bytes free
Post-Run: 5,307,613,184 Ў ©в бў®Ў®¤­®

171

[Аноним]

Простите…я только сейчас прочитала,что Combofix скачивать было не нужно…А я уже его установила(((
Что же теперь делать?(((
Заранее спасибо.Ирина

[Admin]

Здравствуйте Ирина, добро пожаловать на Spyware-ru форум.

Простите…я только сейчас прочитала,что Combofix скачивать было не нужно…А я уже его установила(((
Что же теперь делать?(((

Жить дальше 🙂
Combofix не рекомендуется использовать для самостоятельного лечения, так как существуют трояны, которые могут определить запуск Combofix`а и удалить или повредить важные системные файлы.
В вашем случае ничего страшного не произошло.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Registry::

[-HKEY_LOCAL_MACHINE~Browser Helper Objects{757FF18E-494C-46AC-AF9D-6A6012C315A3}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{0a35fb43-8a23-11dd-b5e8-806d6172696f}]

[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{b8a13fe6-9191-11dd-b5f1-00155847d99f}]



File::

c:documents and settingsAll UsersApplication Dataxaelib.dll

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
И конечно-же проверьте InternetExplorer в работе.

[Аноним]

Большое спасибо,Валерий!
Вот мой новый лог файл:
ComboFix 09-01-15.01 — 007 2009-01-16 21:53:37.2 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1033.18.511.92 [GMT 3:00]
Running from: c:documents and settings007DesktopComboFix.exe
Command switches used :: c:documents and settings007DesktopCFScript.txt
AV: Symantec Endpoint Protection *On-access scanning disabled* (Outdated)
FW: Symantec Endpoint Protection *disabled*
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
c:documents and settingsAll UsersApplication Dataxaelib.dll
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settings007Local SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.jpg
c:documents and settings007Local SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settings007Local SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.jpg
c:documents and settings007Local SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settings007Local SettingsTemporary Internet Files362FD6E8_8CDA_4c2a_A8AA-BDA22B321711.gif
c:documents and settings007Local SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settings007Local SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.gif
c:documents and settings007Local SettingsTemporary Internet Files478BD4AE_2691_438d_BDCA_3485DC022700.gif
c:documents and settings007Local SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.jpg
c:documents and settings007Local SettingsTemporary Internet Files61EA7D69_19D4_421a_A899_0DF4D58CD119.gif
c:documents and settings007Local SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.gif
c:documents and settings007Local SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.gif
c:documents and settings007Local SettingsTemporary Internet Files98F6DF79_7171_452d_9C26_C0193E12DBDF.gif
c:documents and settings007Local SettingsTemporary Internet FilesA2B240D6_0386_419e_91C5_3F7D90437CD0.gif
c:documents and settings007Local SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settings007Local SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:documents and settings007Local SettingsTemporary Internet FilesE9A4D648_ED73_4ea7_88B2_18332DBA4F3E.gif
c:documents and settingsAll UsersApplication Dataxaelib.dll

.
((((((((((((((((((((((((( Files Created from 2008-12-16 to 2009-01-16 )))))))))))))))))))))))))))))))
.

2009-01-15 00:28 . 2009-01-15 00:28

d

---

c:program filesMalwarebytes’ Anti-Malware
2009-01-15 00:28 . 2009-01-15 00:28 d

---

c:documents and settingsAll UsersApplication DataMalwarebytes
2009-01-15 00:28 . 2009-01-15 00:28 d

---

c:documents and settings007Application DataMalwarebytes
2009-01-15 00:28 . 2009-01-04 18:38 38,496 —a

---

c:windowssystem32driversmbamswissarmy.sys
2009-01-15 00:28 . 2009-01-04 18:38 15,504 —a

---

c:windowssystem32driversmbam.sys
2009-01-14 22:02 . 2009-01-14 22:02 d

---

c:documents and settings007Application Datarambler.ru
2009-01-14 22:01 . 2009-01-14 22:02 d

---

c:program filesRambler Assistant
2009-01-14 22:01 . 2009-01-14 22:01 d

---

c:documents and settings007Application DataICQ
2009-01-14 21:57 . 2009-01-14 21:57 d

---

c:program filesICQ6.5
2009-01-14 21:36 . 2009-01-14 21:36 d

---

c:documents and settings007Application DataQIP.Online
2009-01-14 21:35 . 2009-01-14 21:35 d

---

c:program filesQIP.Online
2009-01-06 17:44 . 2009-01-06 17:44 8,864 —a

---

c:windowssystem32driversCDAC15BA.SYS
2008-12-29 00:44 . 2008-12-29 00:44 d

---

c:windowsSun
2008-12-19 23:09 . 2008-12-19 23:09 d

---

c:program filesAudacity
2008-12-19 22:54 . 2008-12-19 22:54 d

---

c:documents and settings007libmp3lame-3.97
2008-12-19 22:10 . 2008-12-19 22:10 177 —a

---

c:windowswinamp.ini

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 19:44

---

d

---

w c:documents and settingsAll UsersApplication DataFLEXnet
2008-12-04 19:07

---

d

---

w c:program filesBonjour
2008-12-04 18:57

---

d

---

w c:program filesCommon FilesMacrovision Shared
2009-01-15 15:51 67,688 —-a-w c:program filesmozilla firefoxcomponentsjar50.dll
2009-01-15 15:51 54,368 —-a-w c:program filesmozilla firefoxcomponentsjsd3250.dll
2009-01-15 15:51 34,944 —-a-w c:program filesmozilla firefoxcomponentsmyspell.dll
2009-01-15 15:51 46,712 —-a-w c:program filesmozilla firefoxcomponentsspellchk.dll
2009-01-15 15:51 172,136 —-a-w c:program filesmozilla firefoxcomponentsxpinstal.dll
.

((((((((((((((((((((((((((((( snapshot@2009-01-15_ 1.23.20,34 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-16 18:56:10 53,248 —-a-w c:windowsTempcatchme.dll
+ 2009-01-16 18:13:16 16,384 —-a-w c:windowsTempPerflib_Perfdata_bf0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
«Skype»=»c:program filesSkypePhoneSkype.exe» [2008-09-23 21755688]
«AdobeUpdater»=»c:program filesCommon FilesAdobeUpdater5AdobeUpdater.exe» [2008-09-26 2356088]
«QIP.Online»=»c:program filesQIP.Onlineqiponline.exe» [2008-12-30 3372032]
«ICQ»=»c:program filesICQ6.5ICQ.exe» [2008-11-30 172792]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«CloneCDTray»=»c:program filesSlySoftCloneCDCloneCDTray.exe» [2006-09-28 57344]
«SunJavaUpdateSched»=»c:program filesJavajre1.6.0_05binjusched.exe» [2008-02-22 144784]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2008-01-22 81920]
«LanguageShortcut»=»c:program filesCyberLinkPowerDVDLanguageLanguage.exe» [2007-10-11 62760]
«BDRegion»=»c:program filesCyberlinkShared Filesbrs.exe» [2008-02-21 91432]
«ccApp»=»c:program filesCommon FilesSymantec SharedccApp.exe» [2008-02-01 115560]
«EPSON Stylus Photo R200 Series»=»c:windowsSystem32spoolDRIVERSW32X863E_S4I0H2.EXE» [2003-09-11 99840]
«SoundMan»=»SOUNDMAN.EXE» [2008-04-28 c:windowssoundman.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccEvtMgr]
@=»Service»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalccSetMgr]
@=»Service»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalSymantec Antivirus]
@=»Service»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
«DisableMonitoring»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe»=
«c:\Program Files\Symantec\Symantec Endpoint Protection\SNAC.EXE»=
«c:\Program Files\Common Files\Symantec Shared\ccApp.exe»=
«c:\WINDOWS\System32\SPOOL\DRIVERS\W32X86\3\SAGENT4.EXE»=
«c:\Program Files\uTorrent [tfile.ru]\utorrent.exe»=
«c:\CorbinaShadowDC\CorbinaShadowDC.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:program filesCommon FilesSymantec SharedEENGINEEraserUtilRebootDrv.sys [2008-09-24 99376]
R4 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:program filesCyberLinkPowerDVD000.fcl [2008-01-30 12:28:36 41456]
S3 COH_Mon;COH_Mon;c:windowssystem32driversCOH_Mon.sys [2007-05-29 23888]
S3 MBAMSwissArmy;MBAMSwissArmy;c:windowssystem32driversmbamswissarmy.sys [2009-01-15 38496]
.
.

---

Supplementary Scan

---

.
uDefault_Search_URL = hxxp://search.qip.ru
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://search.qip.ru/search?query=%s&from=IE
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Найти с помощью Рамблера — c:program filesRambler AssistantramblertoolbarU5090.dll/search.htm
IE: Опубликовать в Дневнике — c:program filesRambler AssistantramblertoolbarU5090.dll/planet.htm
IE: Перевести с помощью словарей Рамблера — c:program filesRambler AssistantramblertoolbarU5090.dll/dic.htm
FF — ProfilePath — c:documents and settings007Application DataMozillaFirefoxProfiles6izahlqw.default
FF — prefs.js: browser.search.selectedEngine — Rambler
FF — prefs.js: browser.startup.homepage — http://www.msn.ru
FF — component: c:program filesMozilla Firefoxcomponentsxpinstal.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 21:56:03
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001Services{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
«ImagePath»=»??c:program filesCyberLinkPowerDVD000.fcl»
.
Completion time: 2009-01-16 21:57:42
ComboFix-quarantined-files.txt 2009-01-16 18:57:40
ComboFix2.txt 2009-01-14 22:25:26

Pre-Run: 4 964 614 144 bytes free
Post-Run: 5,145,690,112 байт свободно

151

[Аноним]

ААААААААААААА!!!!!!!!!!!!!!!!!!!!!!!! 😀 Она исчезла!!! Ничего себе….прям волшебство)
Спасибо Вам огромное!))

[Admin]

Она исчезла!!! Ничего себе….прям волшебство

Счастье — дело техники 😉

Несколько завершающих действий.

Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ..

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Автор]

Сообщения