- This topic has 9 ответов, 2 участника, and was last updated 16 years, 1 month назад by
.
-
Сообщения
-
Здравствуйте ! Подцепил в инете какую то гадость теперь невозможно выйти в инет со своего компа, вместо любой интернет страницы на экране появляется порнозаставка и просит для её удаления отправить смс на номер 3649. Пробовал разными антивирусами ничего не находят. Скачал программу RSIT логи прикрепляю…[attachment=1:3fgti1he]info.txt[/attachment:3fgti1he][attachment=0:3fgti1he]log.txt[/attachment:3fgti1he]
Заранее спасибо…Здравствуйте, добро пожаловать на Spyware-ru форум.
Извините за задержку с ответом.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
:files
C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И ещё приложите свежий RSIT лог.
Кроме этого пожалуйста подскажите, вам знакома эта программа C:WINDOWSfelix.exe — Felix-Billing Client ?Здравствуйте, всё сделал согласно Вашим инструкциям…логи прилагаю.
Программа felix.exe — Felix-Billing Client конечно мне знакома — с помощью её происходит авторизация и выход в инет через провайдера[attachment=0:2ttch1wl]log.txt[/attachment:2ttch1wl][attachment=1:2ttch1wl]04062009_210216.log[/attachment:2ttch1wl]Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Здравствуйте, вот лог после Combofix
ComboFix 09-04-04.01 — аднрей 2009-04-08 22:58:42.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.191.58 [GMT 4:00]
Running from: c:documents and settingsаднрейРабочий столComboFix.exe
Command switches used :: c:documents and settingsаднрейРабочий столWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
AV: avast! antivirus 4.8.1335 [VPS 090402-1] *On-access scanning disabled* (Updated)
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Updated)
* Created a new restore point
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsаднрейLocal SettingsTemporary Internet Files0EB9F12C_6E6B_4c03_AEBA_8C04CFA98AA4.gif
c:documents and settingsаднрейLocal SettingsTemporary Internet Files15913497_F86C_4218_8817_F50940D1E1B2.jpg
c:documents and settingsаднрейLocal SettingsTemporary Internet Files29887DDE_00B9_4011_9CF7_59511F1ECC1B.gif
c:documents and settingsаднрейLocal SettingsTemporary Internet Files35B7DFFA_884F_4fbc_8E60_DA601BDC7BF7.gif
c:documents and settingsаднрейLocal SettingsTemporary Internet Files3DF04940_9866_4241_A998_0CDDFAFD147A.jpg
c:documents and settingsаднрейLocal SettingsTemporary Internet Files426500D7_0FF3_426c_828D_065DBAEA0581.jpg
c:documents and settingsаднрейLocal SettingsTemporary Internet Files5C6C645F_BAA8_4149_BFEB_2031230FF0FD.gif
c:documents and settingsаднрейLocal SettingsTemporary Internet Files777FDAFB_83CF_4960_AA71_4E5D7BCD8E57.jpg
c:documents and settingsаднрейLocal SettingsTemporary Internet Files8DA878D5_E80B_4721_B75A_17EFFAF1A700.jpg
c:documents and settingsаднрейLocal SettingsTemporary Internet FilesC75CEF8D_5AF4_4563_8594_C45A45E14E63.gif
c:documents and settingsаднрейLocal SettingsTemporary Internet FilesE21285C1_40E6_435c_A69F_3387E7BD89CB.jpg
c:windowssystem32mpg4c32.dll.
((((((((((((((((((((((((( Files Created from 2009-03-08 to 2009-04-08 )))))))))))))))))))))))))))))))
.2009-04-06 23:00 . 2009-04-06 23:00 28 —a
c:windowsаднрей.acl
2009-04-06 22:56 . 2009-04-06 22:56 d
c:program filesportable_excel_97_rus
2009-04-03 11:23 . 2009-04-03 11:23 d
C:rsit
2009-04-03 11:23 . 2009-04-03 11:23 d
c:program filestrend micro
2009-04-02 13:46 . 2009-04-02 13:46 d
C:_OTMoveIt
2009-04-02 13:34 . 2009-04-02 13:34 d
c:program filesMalwarebytes’ Anti-Malware
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-04-02 13:34 . 2009-03-26 16:49 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-04-02 13:34 . 2009-03-26 16:49 15,504 —a
c:windowssystem32driversmbam.sys
2009-04-01 22:51 . 2009-04-01 22:51 d—h
c:windowssystem32GroupPolicy
2009-04-01 21:49 . 2009-02-19 16:00 100,472 —a
c:windowssystem32driversdwprot.sys
2009-04-01 21:47 . 2009-04-01 21:47 d
c:program filesDrWeb
2009-04-01 21:47 . 2009-04-01 21:47 d
c:program filesCommon FilesDoctor Web
2009-04-01 21:47 . 2009-04-01 21:47 d
c:documents and settingsAll UsersApplication DataDoctor Web
2009-04-01 21:42 . 2009-04-01 21:42 d—hs—- C:FOUND.000
2009-04-01 21:36 . 2009-04-01 21:36 d
c:documents and settingsаднрейDoctorWeb
2009-04-01 21:36 . 2009-04-01 21:36 d
c:documents and settingsаднрейDoctorWeb
2009-04-01 20:30 . 2009-04-01 20:30 d
c:program filesVIA
2009-04-01 20:30 . 2005-04-27 03:22 60,928 —a
c:windowssystem32driversviamraid.sys
2009-04-01 01:45 . 2009-04-01 01:45 d
c:program filesESET
2009-04-01 00:27 . 2009-04-01 00:27 609,280 —a
c:documents and settingsAll UsersApplication Datayvqdiqu.dll
2009-03-31 22:34 . 2009-03-31 22:34 d
c:program filesLoveChess Age Of Egypt
2009-03-30 22:35 . 2009-03-30 22:35 d
C:x1
2009-03-30 22:30 . 2009-03-30 22:30 d
c:program filesWitcobber
2009-03-30 15:29 . 2009-03-30 15:29 d—h
c:windowsPIF
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:25 . 2009-03-29 16:25 d
c:program filesA4Tech
2009-03-28 00:47 . 2009-03-28 00:47 d
C:x
2009-03-28 00:04 . 2009-03-28 00:04 d
c:program filessdc_epson950_v2.21s
2009-03-27 22:19 . 2009-03-27 22:19 d
C:Logs
2009-03-27 22:04 . 2009-03-27 22:04 d
C:DC
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:44 . 2009-03-26 20:44 d
c:documents and settingsAll UsersApplication Dataashampoo
2009-03-26 20:43 . 2009-03-26 20:43 d
c:program filesAshampoo
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:20 . 2009-03-26 10:20 d
c:program filesK-Lite Codec Pack
2009-03-26 09:56 . 2009-03-26 09:56 d
c:program filesHewlett-Packard
2009-03-26 09:56 . 2009-03-26 09:56 d
c:program filesCommon FilesHewlett-Packard
2009-03-26 09:55 . 2006-04-10 14:03 38,400 —a
c:windowssystem32hpz3l054.dll
2009-03-26 09:54 . 2004-08-03 22:58 15,104 —a
c:windowssystem32driversusbscan.sys
2009-03-26 09:54 . 2004-08-03 22:58 15,104 —a
c:windowssystem32dllcacheusbscan.sys
2009-03-26 09:53 . 1998-10-29 16:45 306,688 —a
c:windowsIsUninst.exe
2009-03-26 09:53 . 2006-03-03 21:03 282,680 —a
c:windowssystem32HPZidr12.dll
2009-03-26 09:53 . 2006-03-03 21:02 204,800 —a
c:windowssystem32HPZipr12.dll
2009-03-26 09:53 . 2006-03-03 21:02 94,208 —a
c:windowssystem32HPZipt12.dll
2009-03-26 09:53 . 2006-03-03 21:03 69,632 —a
c:windowssystem32HPZipm12.exe
2009-03-26 09:53 . 2006-03-03 21:03 65,536 —a
c:windowssystem32HPZinw12.exe
2009-03-26 09:53 . 2006-03-03 21:02 57,344 —a
c:windowssystem32HPZisn12.dll
2009-03-26 09:52 . 2009-03-26 09:56 112,295 —a
c:windowshpoins11.dat
2009-03-26 09:51 . 2006-04-13 03:02 827,392 —a
c:windowssystem32hpotiop2.dll
2009-03-26 09:51 . 2006-04-13 03:02 659,456 —a
c:windowssystem32hpowiax2.dll
2009-03-26 09:51 . 2006-04-13 03:02 254,026 —a
c:windowssystem32hpovst09.dll
2009-03-26 09:50 . 2006-05-06 09:38 6,947 —a
c:windowshpomdl11.dat
2009-03-26 09:11 . 2009-03-26 09:11 d
c:program filesHP
2009-03-26 09:10 . 2006-04-13 03:04 49,664 —a
c:windowssystem32driversHPZid412.sys
2009-03-26 09:10 . 2006-04-13 03:04 21,568 —a
c:windowssystem32driversHPZius12.sys
2009-03-26 09:10 . 2006-04-13 03:04 16,496 —a
c:windowssystem32driversHPZipr12.sys
2009-03-26 09:09 . 2006-04-13 03:04 282,624 —a
c:windowssystem32HPZc3212.dll
2009-03-26 09:09 . 2005-07-19 04:39 98,304 —a
c:windowssystem32hpzjsn01.dll
2009-03-26 09:09 . 2006-01-04 11:12 77,824 —a
c:windowssystem32HPZIDS01.dll
2009-03-26 09:06 . 2004-08-03 23:08 31,616 —a
c:windowssystem32driversusbccgp.sys
2009-03-26 09:06 . 2004-08-03 23:08 31,616 —a
c:windowssystem32dllcacheusbccgp.sys
2009-03-26 09:06 . 2004-08-03 23:08 26,496 —a
c:windowssystem32dllcacheusbstor.sys
2009-03-26 09:06 . 2004-08-03 23:01 25,856 —a
c:windowssystem32driversusbprint.sys
2009-03-26 09:06 . 2004-08-03 23:01 25,856 —a
c:windowssystem32dllcacheusbprint.sys
2009-03-26 01:29 . 2009-03-26 01:29 d—h
c:windows$hf_mig$
2009-03-26 01:29 . 2005-02-25 06:36 22,752 —a
c:windowssystem32spupdsvc.exe
2009-03-26 01:26 . 2008-10-16 14:09 43,544 —a
c:windowssystem32wups2.dll
2009-03-26 01:26 . 2008-10-16 14:08 31,768 —a
c:windowssystem32wucltui.dll.mui
2009-03-26 01:26 . 2008-10-16 14:08 27,672 —a
c:windowssystem32wuapi.dll.mui
2009-03-26 01:26 . 2008-10-16 14:07 23,576 —a
c:windowssystem32wuaucpl.cpl.mui
2009-03-26 01:26 . 2008-10-16 14:07 18,968 —a
c:windowssystem32wuaueng.dll.mui
2009-03-26 01:23 . 2009-03-26 01:23 d—s—- c:documents and settingsаднрейUserData
2009-03-26 01:23 . 2009-03-26 01:23 d—s—- c:documents and settingsаднрейUserData
2009-03-26 00:45 . 2009-03-26 00:45 d
c:program filesC-Media 3D Audio
2009-03-26 00:43 . 2009-03-26 00:43 d
c:program filesS3
2009-03-26 00:43 . 2009-03-26 00:43 d—h
c:program filesInstallShield Installation Information
2009-03-26 00:43 . 2009-03-26 00:43 d
c:program filesCommon FilesInstallShield
2009-03-26 00:43 . 2005-07-07 16:57 3,493,632 —a
c:windowssystem32vtdisp.dll
2009-03-26 00:26 . 2009-03-26 00:26 552 —a
c:windowssystem32d3d8caps.dat
2009-03-26 00:07 . 2009-03-26 00:07 d
c:program filesAlwil Software
2009-03-26 00:07 . 2003-03-18 23:20 1,060,864 —a
c:windowssystem32MFC71.dll
2009-03-26 00:07 . 2003-03-18 22:14 499,712 —a
c:windowssystem32MSVCP71.dll
2009-03-26 00:07 . 2003-02-21 06:42 348,160 —a
c:windowssystem32MSVCR71.dll
2009-03-26 00:04 . 2009-03-26 00:04 d—hs—- C:Recycled.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 17:39 2,864 —-a-w c:windowssystem32winsock.dll
2009-03-26 17:39 2,864 —-a-w c:windowssystem32dllcachewinsock.dll
2009-03-25 19:42
d
w c:program filesmicrosoft frontpage
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_LOCAL_MACHINE~Browser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
2007-04-08 22:48 609280 —a
c:documents and settingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Felix»=»c:windowsfelix.exe» [2008-09-15 492032]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2009-02-06 81000]
«iKeyWorks»=»c:progra~1A4TechKeyboardIkeymain.exe» [2007-06-25 65536]
«NwOpenMS»=»c:program filesCommon FilesMicrosoft SharedWeb Foldersuqidqvy.dll» [2009-04-01 609280]
«RaidTool»=»c:program filesVIARAIDraid_tool.exe» [2005-04-27 589824]
«SpIDerAgent»=»c:program filesDrWebSpIDerAgent.exe» [2009-02-16 423152]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2009-02-25 640240]
«SpIDerNT»=»c:progra~1DRWEBspiderui.exe» [2008-12-15 197896]
«VTTimer»=»VTTimer.exe» [2005-03-08 c:windowssystem32VTTimer.exe]
«VTTrayp»=»VTtrayp.exe» [2005-03-11 c:windowssystem32VTTrayp.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«vidc.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\felix.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«c:\Program Files\sdc_epson950_v2.21s\StrongDC.exe»=
«c:\WINDOWS\System32\mmc.exe»=P2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DRWEBspidernt.exe [2008-12-15 197896]
R0 DwProt;DrWeb Protection;c:windowssystem32driversdwprot.sys [2009-04-01 100472]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2009-03-26 114768]
R2 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2009-03-26 20560]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:program filesCommon FilesDoctor WebScanning Enginedwengine.exe [2009-01-21 886072]
R2 SPIDER;SpIDer Guard File System Monitor;c:progra~1DRWEBspider.sys [2008-12-15 268328]
.
Contents of the ‘Scheduled Tasks’ folder2009-04-06 c:windowsTasksDr.Web Update.job
— c:program filesDrWebDrWebUpW.exe [2009-03-02 17:51]2009-04-01 c:windowsTasksDr.Web Daily scan.job
— c:program filesDrWebDrWeb32w.exe [2009-03-26 17:12]
.
— — — — ORPHANS REMOVED — — — —HKLM-Run-Cmaudio — cmicnfg.cpl
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/
LSP: c:program filesDrWebdrwebsp.dll
TCP: {9FAA87B0-4960-47E3-95D9-FF4E31889AE1} = 172.16.175.1,10.4.17.99
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 23:01:23
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(728)
c:program filesDrWebdrwebsp.dll
.
Completion time: 2009-04-08 23:02:40
ComboFix-quarantined-files.txt 2009-04-08 19:02:38Pre-Run: 58 986 430 464 байт свободно
Post-Run: 58,976,010,240 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect211
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_LOCAL_MACHINE~Browser Helper Objects{068119DB-00E9-416A-AC2E-9F837E6FB3C3}]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NwOpenMS"=-
File::
c:documents and settingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
c:program filesCommon FilesMicrosoft SharedWeb Foldersuqidqvy.dllЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Здравствуйте, вот получившийся лог…
ComboFix 09-04-04.01 — аднрей 2009-04-11 21:26:33.3 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.191.67 [GMT 4:00]
Running from: c:documents and settingsаднрейРабочий столComboFix.exe
Command switches used :: c:documents and settingsаднрейРабочий столCFScript.txt
AV: avast! antivirus 4.8.1335 [VPS 090402-1] *On-access scanning disabled* (Outdated)
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Outdated)
* Created a new restore pointFILE ::
c:documents and settingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
c:program filesCommon FilesMicrosoft SharedWeb Foldersuqidqvy.dll
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:documents and settingsAll UsersApplication DataMicrosoftMedia Playeryvqdiqu.dll
c:program filesCommon FilesMicrosoft SharedWeb Foldersuqidqvy.dll.
((((((((((((((((((((((((( Files Created from 2009-03-11 to 2009-04-11 )))))))))))))))))))))))))))))))
.2009-04-06 23:00 . 2009-04-06 23:00 28 —a
c:windowsаднрей.acl
2009-04-06 22:56 . 2009-04-06 22:56 d
c:program filesportable_excel_97_rus
2009-04-03 11:23 . 2009-04-03 11:23 d
C:rsit
2009-04-03 11:23 . 2009-04-03 11:23 d
c:program filestrend micro
2009-04-02 13:46 . 2009-04-02 13:46 d
C:_OTMoveIt
2009-04-02 13:34 . 2009-04-02 13:34 d
c:program filesMalwarebytes’ Anti-Malware
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsаднрейApplication DataMalwarebytes
2009-04-02 13:34 . 2009-04-02 13:34 d
c:documents and settingsAll UsersApplication DataMalwarebytes
2009-04-02 13:34 . 2009-03-26 16:49 38,496 —a
c:windowssystem32driversmbamswissarmy.sys
2009-04-02 13:34 . 2009-03-26 16:49 15,504 —a
c:windowssystem32driversmbam.sys
2009-04-01 22:51 . 2009-04-01 22:51 d—h
c:windowssystem32GroupPolicy
2009-04-01 21:49 . 2009-02-19 16:00 100,472 —a
c:windowssystem32driversdwprot.sys
2009-04-01 21:47 . 2009-04-01 21:47 d
c:program filesDrWeb
2009-04-01 21:47 . 2009-04-01 21:47 d
c:program filesCommon FilesDoctor Web
2009-04-01 21:47 . 2009-04-01 21:47 d
c:documents and settingsAll UsersApplication DataDoctor Web
2009-04-01 21:42 . 2009-04-01 21:42 d—hs—- C:FOUND.000
2009-04-01 21:36 . 2009-04-01 21:36 d
c:documents and settingsаднрейDoctorWeb
2009-04-01 21:36 . 2009-04-01 21:36 d
c:documents and settingsаднрейDoctorWeb
2009-04-01 20:30 . 2009-04-01 20:30 d
c:program filesVIA
2009-04-01 20:30 . 2005-04-27 03:22 60,928 —a
c:windowssystem32driversviamraid.sys
2009-04-01 01:45 . 2009-04-01 01:45 d
c:program filesESET
2009-04-01 00:27 . 2009-04-01 00:27 609,280 —a
c:documents and settingsAll UsersApplication Datayvqdiqu.dll
2009-03-31 22:34 . 2009-03-31 22:34 d
c:program filesLoveChess Age Of Egypt
2009-03-30 22:35 . 2009-03-30 22:35 d
C:x1
2009-03-30 22:30 . 2009-03-30 22:30 d
c:program filesWitcobber
2009-03-30 15:29 . 2009-03-30 15:29 d—h
c:windowsPIF
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:52 . 2009-03-29 16:52 d
c:documents and settingsаднрейApplication DataAdobe
2009-03-29 16:25 . 2009-03-29 16:25 d
c:program filesA4Tech
2009-03-28 00:47 . 2009-03-28 00:47 d
C:x
2009-03-28 00:04 . 2009-03-28 00:04 d
c:program filessdc_epson950_v2.21s
2009-03-27 22:19 . 2009-03-27 22:19 d
C:Logs
2009-03-27 22:04 . 2009-03-27 22:04 d
C:DC
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:45 . 2009-03-26 20:45 d
c:documents and settingsаднрейApplication DataAshampoo
2009-03-26 20:44 . 2009-03-26 20:44 d
c:documents and settingsAll UsersApplication Dataashampoo
2009-03-26 20:43 . 2009-03-26 20:43 d
c:program filesAshampoo
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 20:28 . 2009-03-26 20:28 d
c:documents and settingsаднрейApplication DataMacromedia
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:21 . 2009-03-26 10:21 d
c:documents and settingsаднрейApplication DataMedia Player Classic
2009-03-26 10:20 . 2009-03-26 10:20 d
c:program filesK-Lite Codec Pack
2009-03-26 09:56 . 2009-03-26 09:56 d
c:program filesHewlett-Packard
2009-03-26 09:56 . 2009-03-26 09:56 d
c:program filesCommon FilesHewlett-Packard
2009-03-26 09:55 . 2006-04-10 14:03 38,400 —a
c:windowssystem32hpz3l054.dll
2009-03-26 09:54 . 2004-08-03 22:58 15,104 —a
c:windowssystem32driversusbscan.sys
2009-03-26 09:54 . 2004-08-03 22:58 15,104 —a
c:windowssystem32dllcacheusbscan.sys
2009-03-26 09:53 . 1998-10-29 16:45 306,688 —a
c:windowsIsUninst.exe
2009-03-26 09:53 . 2006-03-03 21:03 282,680 —a
c:windowssystem32HPZidr12.dll
2009-03-26 09:53 . 2006-03-03 21:02 204,800 —a
c:windowssystem32HPZipr12.dll
2009-03-26 09:53 . 2006-03-03 21:02 94,208 —a
c:windowssystem32HPZipt12.dll
2009-03-26 09:53 . 2006-03-03 21:03 69,632 —a
c:windowssystem32HPZipm12.exe
2009-03-26 09:53 . 2006-03-03 21:03 65,536 —a
c:windowssystem32HPZinw12.exe
2009-03-26 09:53 . 2006-03-03 21:02 57,344 —a
c:windowssystem32HPZisn12.dll
2009-03-26 09:52 . 2009-03-26 09:56 112,295 —a
c:windowshpoins11.dat
2009-03-26 09:51 . 2006-04-13 03:02 827,392 —a
c:windowssystem32hpotiop2.dll
2009-03-26 09:51 . 2006-04-13 03:02 659,456 —a
c:windowssystem32hpowiax2.dll
2009-03-26 09:51 . 2006-04-13 03:02 254,026 —a
c:windowssystem32hpovst09.dll
2009-03-26 09:50 . 2006-05-06 09:38 6,947 —a
c:windowshpomdl11.dat
2009-03-26 09:11 . 2009-03-26 09:11 d
c:program filesHP
2009-03-26 09:10 . 2006-04-13 03:04 49,664 —a
c:windowssystem32driversHPZid412.sys
2009-03-26 09:10 . 2006-04-13 03:04 21,568 —a
c:windowssystem32driversHPZius12.sys
2009-03-26 09:10 . 2006-04-13 03:04 16,496 —a
c:windowssystem32driversHPZipr12.sys
2009-03-26 09:09 . 2006-04-13 03:04 282,624 —a
c:windowssystem32HPZc3212.dll
2009-03-26 09:09 . 2005-07-19 04:39 98,304 —a
c:windowssystem32hpzjsn01.dll
2009-03-26 09:09 . 2006-01-04 11:12 77,824 —a
c:windowssystem32HPZIDS01.dll
2009-03-26 09:06 . 2004-08-03 23:08 31,616 —a
c:windowssystem32driversusbccgp.sys
2009-03-26 09:06 . 2004-08-03 23:08 31,616 —a
c:windowssystem32dllcacheusbccgp.sys
2009-03-26 09:06 . 2004-08-03 23:08 26,496 —a
c:windowssystem32dllcacheusbstor.sys
2009-03-26 09:06 . 2004-08-03 23:01 25,856 —a
c:windowssystem32driversusbprint.sys
2009-03-26 09:06 . 2004-08-03 23:01 25,856 —a
c:windowssystem32dllcacheusbprint.sys
2009-03-26 01:29 . 2009-03-26 01:29 d—h
c:windows$hf_mig$
2009-03-26 01:29 . 2005-02-25 06:36 22,752 —a
c:windowssystem32spupdsvc.exe
2009-03-26 01:26 . 2008-10-16 14:09 43,544 —a
c:windowssystem32wups2.dll
2009-03-26 01:26 . 2008-10-16 14:08 31,768 —a
c:windowssystem32wucltui.dll.mui
2009-03-26 01:26 . 2008-10-16 14:08 27,672 —a
c:windowssystem32wuapi.dll.mui
2009-03-26 01:26 . 2008-10-16 14:07 23,576 —a
c:windowssystem32wuaucpl.cpl.mui
2009-03-26 01:26 . 2008-10-16 14:07 18,968 —a
c:windowssystem32wuaueng.dll.mui
2009-03-26 01:23 . 2009-03-26 01:23 d—s—- c:documents and settingsаднрейUserData
2009-03-26 01:23 . 2009-03-26 01:23 d—s—- c:documents and settingsаднрейUserData
2009-03-26 00:45 . 2009-03-26 00:45 d
c:program filesC-Media 3D Audio
2009-03-26 00:43 . 2009-03-26 00:43 d
c:program filesS3
2009-03-26 00:43 . 2009-03-26 00:43 d—h
c:program filesInstallShield Installation Information
2009-03-26 00:43 . 2009-03-26 00:43 d
c:program filesCommon FilesInstallShield
2009-03-26 00:43 . 2005-07-07 16:57 3,493,632 —a
c:windowssystem32vtdisp.dll
2009-03-26 00:26 . 2009-03-26 00:26 552 —a
c:windowssystem32d3d8caps.dat
2009-03-26 00:07 . 2009-03-26 00:07 d
c:program filesAlwil Software
2009-03-26 00:07 . 2003-03-18 23:20 1,060,864 —a
c:windowssystem32MFC71.dll
2009-03-26 00:07 . 2003-03-18 22:14 499,712 —a
c:windowssystem32MSVCP71.dll
2009-03-26 00:07 . 2003-02-21 06:42 348,160 —a
c:windowssystem32MSVCR71.dll
2009-03-26 00:04 . 2009-03-26 00:04 d—hs—- C:Recycled.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 17:39 2,864 —-a-w c:windowssystem32winsock.dll
2009-03-26 17:39 2,864 —-a-w c:windowssystem32dllcachewinsock.dll
2009-03-25 19:42
d
w c:program filesmicrosoft frontpage
.((((((((((((((((((((((((((((( SnapShot@2009-04-08_23.01.49,20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-11 16:56:34 16,384 —-a-w c:windowsTempPerflib_Perfdata_5c0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2004-08-17 15360]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-08-17 1667584][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«Felix»=»c:windowsfelix.exe» [2008-09-15 492032]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2009-02-06 81000]
«iKeyWorks»=»c:progra~1A4TechKeyboardIkeymain.exe» [2007-06-25 65536]
«RaidTool»=»c:program filesVIARAIDraid_tool.exe» [2005-04-27 589824]
«SpIDerAgent»=»c:program filesDrWebSpIDerAgent.exe» [2009-02-16 423152]
«SpIDerMail»=»c:program filesDrWebspiderml.exe» [2009-02-25 640240]
«SpIDerNT»=»c:progra~1DRWEBspiderui.exe» [2008-12-15 197896]
«VTTimer»=»VTTimer.exe» [2005-03-08 c:windowssystem32VTTimer.exe]
«VTTrayp»=»VTtrayp.exe» [2005-03-11 c:windowssystem32VTTrayp.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«vidc.3iv2″= 3ivxVfWCodec.dll
«VIDC.VP31″= vp31vfw.dll[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\felix.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe»=
«c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe»=
«c:\Program Files\sdc_epson950_v2.21s\StrongDC.exe»=
«c:\WINDOWS\System32\mmc.exe»=P2 SPIDERNT;SpIDer Guard for Windows;c:progra~1DRWEBspidernt.exe [2008-12-15 197896]
R0 DwProt;DrWeb Protection;c:windowssystem32driversdwprot.sys [2009-04-01 100472]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2009-03-26 114768]
R2 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2009-03-26 20560]
R2 DrWebEngine;Dr.Web Scanning Engine (DrWebEngine);c:program filesCommon FilesDoctor WebScanning Enginedwengine.exe [2009-01-21 886072]
R2 SPIDER;SpIDer Guard File System Monitor;c:progra~1DRWEBspider.sys [2008-12-15 268328]
.
Contents of the ‘Scheduled Tasks’ folder2009-04-11 c:windowsTasksDr.Web Update.job
— c:program filesDrWebDrWebUpW.exe [2009-03-02 17:51]2009-04-01 c:windowsTasksDr.Web Daily scan.job
— c:program filesDrWebDrWeb32w.exe [2009-03-26 17:12]
.
.
Supplementary Scan
.
uStart Page = hxxp://www.yandex.ru/
LSP: c:program filesDrWebdrwebsp.dll
TCP: {9FAA87B0-4960-47E3-95D9-FF4E31889AE1} = 172.16.175.1,10.4.17.99
.**************************************************************************
catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-11 21:28:40
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘lsass.exe'(728)
c:program filesDrWebdrwebsp.dll
.
Completion time: 2009-04-11 21:29:57
ComboFix-quarantined-files.txt 2009-04-11 17:29:56
ComboFix3.txt 2009-04-08 19:02:44
ComboFix2.txt 2009-04-09 05:56:40Pre-Run: 58 895 073 280 байт свободно
Post-Run: 58,885,013,504 байт свободно198
Здравствуйте, хочу добавить, что после последней процедуры интернет странички стали открываться и эта порнозаставка изчезла. Неужели конец этим всем мучениям…Огромное Вам спасибо Валерий за помощь !!!
Рад вам помочь 🙂
У вас установлено два антивируса, удалите один.
Несколько завершающих действий.1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Запустите программу OTMoveIT3. Кликните по кнопке CleanUp. Если появится запрос на перезагрузку компьютера, то кликните Да/Yes.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.3. Подойдите к защите вашего компьютера более серьёзно.
Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита от шпионских и других вредоносных программ.
Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить и использовать Оперу или Firefox.
4. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
5. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
- Для ответа в этой теме необходимо авторизоваться.
