- This topic has 3 ответа, 2 участника, and was last updated 15 years, 10 months назад by
.
-
Сообщения
-
началось все с того, что стал появляться какой-то баннер, смс не требует, разделен на 9 частей, в каждом — какая-то рекламка, закрыть окошко можно, но он периодически появляется, то поверх всех окон, то на рабочем столе и достал. Всякие куреиты и спай-программки не нашли ничего, комбофикс установила, вот какой лог он выдал:
ComboFix 08-12-14.05 — Home_PC 2010-02-25 16:18:45.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.511.181 [GMT 3:00]
Running from: c:docume~1Home_PCLOCALS~1TempRar$EX01.672ComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
— REDUCED FUNCTIONALITY MODE —
.((((((((((((((((((((((((( Files Created from 2010-01-25 to 2010-02-25 )))))))))))))))))))))))))))))))
.2010-02-24 21:07 . 2010-02-24 21:07
d
c:program filesCCleaner
2010-02-22 22:46 . 2010-02-24 08:58d
c:program filesDrWeb
2010-02-22 22:46 . 2010-02-23 22:04d
c:documents and settingsAll Users.WINDOWSApplication DataDoctor Web
2010-02-21 21:27 . 2010-02-21 21:27d
c:program filesSpybot — Search & Destroy
2010-02-21 21:27 . 2010-02-24 21:17d
c:documents and settingsAll Users.WINDOWSApplication DataSpybot — Search & Destroy
2010-02-20 21:32 . 2010-02-23 09:30d
c:documents and settingsHome_PCDoctorWeb
2010-02-18 17:02 . 2010-02-18 17:02d—h
c:windowssystem32CanonIJ Uninstaller Information
2010-02-18 17:02 . 2010-02-18 17:02d—h
c:program filesCanonBJ
2010-02-18 17:02 . 2006-11-10 05:00 1,314,816 —a
c:windowssystem32CNCC140.DLL
2010-02-18 17:02 . 2006-05-26 04:54 135,168 —a
c:windowssystem32CNCL140.DLL
2010-02-18 17:02 . 2006-06-29 08:29 106,496 —a
c:windowssystem32cnco140.dll
2010-02-18 17:02 . 2006-11-10 04:59 57,344 —a
c:windowssystem32CNCI140.DLL
2010-02-11 20:45 . 2010-02-11 20:45d
C:VisaForm_Works
2010-02-11 15:35 . 2010-02-11 15:36d
c:program filesresources
2010-02-11 15:35 . 2010-02-11 15:36d
c:program filesredist
2010-02-11 15:35 . 2010-02-11 15:36d
c:program filespayloads
2010-02-11 15:28 . 2010-02-25 14:47d
c:program filesMAdModule
2010-02-10 19:06 . 2010-02-10 21:26d
c:documents and settingsHome_PCApplication DataНовый Диск.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-18 14:14
d
w c:program filesCanon
2010-02-14 11:00
d
w c:program filesOpera
2010-02-11 07:49
d
w c:documents and settingsHome_PCApplication DataCanon
2010-02-10 19:05
d
w c:documents and settingsAll Users.WINDOWSApplication DataMicrosoft Help
2010-02-10 15:46
d
w c:program filesНовый Диск
2010-02-07 14:04
d
w c:program filesCommon FilesACD Systems
2010-02-07 14:04
d
w c:program filesACD Systems
2010-02-07 14:04
d
w c:documents and settingsAll Users.WINDOWSApplication DataACD Systems
2010-02-02 16:44
d
w c:documents and settingsAll Users.WINDOWSApplication DataCanonIJPLM
2010-01-21 06:04
d
w c:program filesMicrosoft Silverlight
2010-01-10 18:50
d
w c:program filesCommon FilesAhead
2010-01-10 18:50
d
w c:program filesAhead
2009-12-31 16:14 352,640 —-a-w c:windowssystem32driverssrv.sys
2006-12-08 13:08 2,149 —-a-w c:program filesDeployment.xml
2006-12-08 13:03 1,687,552
w c:program filesWinBootstrapper.msi
2006-12-08 12:58 441,575 —-a-w c:program filesWinBootstrapper1.cab
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«Punto Switcher»=»c:program filesPunto SwitcherPS.exe» [2004-11-13 205824]
«Infium»=»c:program filesQIP Infiuminfium.exe» [2009-03-25 5245440]
«QIP2005″=»c:program filesQIPqip.exe» [2008-12-09 3259392]
«AdobeUpdater»=»c:program filesCommon FilesAdobeUpdater5AdobeUpdater.exe» [2007-02-28 2321600]
«SpybotSD TeaTimer»=»c:program filesSpybot — Search & DestroyTeaTimer.exe» [2009-01-26 2144088][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2009-11-25 81000]
«MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2008-10-03 4417016]
«SSBkgdUpdate»=»c:program filesCommon FilesScansoft SharedSSBkgdUpdateSSBkgdupdate.exe» [2006-10-25 210472]
«OpwareSE4″=»c:program filesScanSoftOmniPageSE4OpwareSE4.exe» [2007-02-04 79400]
«GrooveMonitor»=»c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe» [2008-10-25 31072]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«MAdService.exe»=»c:program filesMAdModuleMAdService.exe» [2010-02-25 841216]
«SoundMan»=»SOUNDMAN.EXE» [2006-01-11 c:windowssoundman.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]c:documents and settingsHome_PCѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — c:program filesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2007-08-24 344064]c:documents and settingsOEMѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — c:program filesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2007-08-24 344064]c:documents and settingsHome_PCѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — c:program filesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2007-08-24 344064]c:documents and settingsHome_PCѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-03-16 113664]
€бва㬥⠯஢ҐаЄЁ ®бЁвҐ«п Picture Motion Browser.lnk — c:program filesSonySony Picture UtilityVolumeWatcherSPUVolumeWatcher.exe [2007-08-24 344064][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«VIDC.X264″= x264vfw.dll
«VIDC.ACDV»= ACDV.dll[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\Новый Диск\Rise of Nations – Золотое издание\thrones.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Mail.Ru\Agent\magent.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\GROOVE.EXE»=
«c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\mIRC\mirc.exe»=
«c:\bestirc\mirc631rus\mirc.exe»=
«c:\Program Files\Opera\opera.exe»=.
Contents of the ‘Scheduled Tasks’ folder2010-02-25 c:windowsTasksWGASetup.job
— c:windowssystem32KB905474wgasetup.exe [2009-03-10 22:18]
.
— — — — ORPHANS REMOVED — — — —HKLM-Run-Device Detector — DevDetect.exe
.
Supplementary Scan
.
uStart Page = ovkuse.ru
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver — c:windowssystem32GPhotos.scr/200
IE: E&xport to Microsoft Excel — c:progra~1MICROS~4Office12EXCEL.EXE/3000
IE: Найти в интернете — c:program filesMail.RuSputnikMailRuSputnik.dll/282
IE: Найти в словарях — c:program filesMail.RuSputnikMailRuSputnik.dll/283
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe —
FF — ProfilePath — c:documents and settingsHome_PCApplication DataMozillaFirefoxProfileshz33rqfy.default
FF — prefs.js: browser.search.selectedEngine — ICQ Search
FF — prefs.js: browser.startup.homepage — hxxp://start.icq.com/
FF — prefs.js: keyword.URL — hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF — plugin: c:program filesGooglePicasa3npPicasa3.dll
FF — plugin: c:program filesMicrosoft Silverlight3.0.50106.0npctrl.dll
.**************************************************************************
catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-25 16:30:54
Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(676)
c:windowssystem32Ati2evxx.dll
.
Completion time: 2010-02-25 16:34:18
ComboFix-quarantined-files.txt 2010-02-25 13:33:01Pre-Run: 47 003 619 328 байт свободно
Post-Run: 47,137,538,048 байт свободно141 — E O F — 2010-02-24 18:59:29
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте свежую версию программы Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
- Для ответа в этой теме необходимо авторизоваться.
