- This topic has 33 ответа, 2 участника, and was last updated 17 years назад by
.
-
Сообщения
-
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
У меня такая же проблема с рекламой как и у Анастасии, я скачала программку Malwarebytes’ Anti-Malware, запустила, полностью просканировала, но это не помогло, реклама не исчезла 😥 Помогите, пожалуйста, дайте ссылку и совет, что нужно сделать 😕 Заранее благодарю!
Здравствуйте, добро пожаловать на Spyware-ru форум.
Пожалуйста прочитайте следующие инструкции Как вылечить компьютер, первые шаги.
Вам необходимо выполнить третий этап.Жду от вас HijackThis лог.
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Здравствуйте, я скачала HijackThis, просканировала и вот, что мне выдала программка:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:27, on 03.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSMixer.exe
C:Program FilesSpyware DoctorpctsTray.exe
C:WINDOWSsystem32ctfmon.exe
C:WINDOWSsystem32sistray.exe
C:Program FilesSpyware DoctorpctsAuxs.exe
C:Program FilesSpyware DoctorpctsSvc.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32alg.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe
C:WINDOWSsystem32wbemwmiprvse.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.rambler.ru/ri6
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: Google Toolbar Helper — {AA58ED58-01DD-4D91-8333-CF10577473F7} — C:Documents and SettingsСветочкаGooglegoogletoolbar1.dll (file missing)
O4 — HKLM..Run: [C-Media Mixer] Mixer.exe /startup
O4 — HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 — HKLM..Run: [jvrarxe] C:Program FilesCommon FilesSystemlfkxaor.exe
O4 — HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 — HKLM..Run: [ISTray] «C:Program FilesSpyware DoctorpctsTray.exe»
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [MsnMsgr] «C:Program FilesMSN MessengerMsnMsgr.Exe» /background
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User ‘Default user’)
O4 — Startup: Adobe Gamma.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 — Global Startup: Utility Tray.lnk = C:WINDOWSsystem32sistray.exe
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O9 — Extra ‘Tools’ menuitem: ICQ6 — {E59EB121-F339-4851-A3BA-FE49C35617C2} — C:Program FilesICQ6ICQ.exe
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O17 — HKLMSystemCCSServicesTcpip..{1D935875-53DB-4047-87B3-42E04E27624B}: NameServer = 217.195.65.9 217.195.66.253
O23 — Service: Adobe LM Service — Adobe Systems — C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver1050Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: PC Tools Auxiliary Service (sdAuxService) — PC Tools — C:Program FilesSpyware DoctorpctsAuxs.exe
O23 — Service: PC Tools Security Service (sdCoreService) — PC Tools — C:Program FilesSpyware DoctorpctsSvc.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe—
End of file — 4666 bytesЧто все это значит, мне не понятно? 🙄 Что надо еще сделать? 😕
Всё правильно сделали.
Теперь запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочками (слева) следующие строки:O4 - HKLM..Run: [jvrarxe] C:Program FilesCommon FilesSystemlfkxaor.exeКликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Закройте HijackThis и перезагрузите компьютер.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ComboFix 08-10-04.01 — ???????? 2008-10-04 22:18:25.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.157 [GMT 4:00]
Running from: C:Documents and Settings??????????????? ????ComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section not completed((((((((((((((((((((((((( Files Created from 2008-09-04 to 2008-10-04 )))))))))))))))))))))))))))))))
.2008-10-04 22:18 . 2008-10-04 22:18
d—s—- C:WINDOWSCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 . 2008-10-04 22:18d
C:Documents and SettingsСветочка
2008-10-02 21:48 . 2008-10-02 21:48d
C:Program FilesTrend Micro
2008-10-02 20:37 . 2008-10-02 20:37d
C:Program FilesMalwarebytes’ Anti-Malware
2008-10-02 20:37 . 2008-10-02 20:37d
C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-10-02 20:37 . 2008-09-10 00:04 38,528 —a
C:WINDOWSsystem32driversmbamswissarmy.sys
2008-10-02 20:37 . 2008-09-10 00:03 17,200 —a
C:WINDOWSsystem32driversmbam.sys
2008-10-01 22:18 . 2008-10-01 22:20 1,624 —a
C:WINDOWSsystem32tmp.reg
2008-09-17 22:22 . 2008-09-17 22:22d
C:Program FilesABBYY FineReader 8.0 Professional Edition
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal SettingsTemp
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal Settings
2008-09-06 21:49 . 2008-09-06 21:49d
C:Documents and SettingsAll Users.WINDOWSApplication DataAdobe Systems
2008-09-06 21:41 . 2008-09-06 21:41d
C:Program FilesCommon FilesAdobe Systems Shared
2008-09-06 21:29 . 2008-09-06 21:29d
C:Program FilesPSCS2.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 11:51 87,552 —-a-w C:WINDOWSsystem32VACFix.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32o4Patch.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32IEDFix.C.exe
2008-09-08 19:38 88,576 —-a-w C:WINDOWSsystem32AntiXPVSTFix.exe
2008-09-07 15:02 2,560 —-a-w C:WINDOWS_MSRSTRT.EXE
2008-08-18 08:19 82,432 —-a-w C:WINDOWSsystem32404Fix.exe
2008-02-26 17:22 169 —sh—w C:Program Filesjvrarxe.inf
2001-11-23 03:08 712,704 —-a-r C:WINDOWSinfOTHERAUDIO3D.DLL
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2004-08-17 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»C:WINDOWSSiSUSBrg.exe» [2002-07-12 106496]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«ISTray»=»C:Program FilesSpyware DoctorpctsTray.exe» [2008-06-23 1107848]
«C-Media Mixer»=»Mixer.exe» [2003-03-20 C:WINDOWSmixer.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=NVDESK32.DLL[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«VIDC.YV12″= yv12vfw.dll
«msacm.divxa32″= divxa32.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\ICQ6\ICQ.exe»=S3 FXDRV;FXDRV;G:Fxdrv.sys [ ]
S3 SiSV6306;SiSV6306;C:WINDOWSsystem32DRIVERSSiS6306p.sys [2001-08-17 68608]
S3 usbprint;Класс принтеров Microsoft USB;C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 USBSTOR;Драйвер запоминающих устройств для USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
ShellAutoRuncommand — nideiect.com
ShellexploreCommand — nideiect.com
ShellopenCommand — nideiect.com[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
ShellAutoRuncommand — H:ebvldhc.exe
ShellexploreCommand — H:ebvldhc.exe
ShellopenCommand — H:ebvldhc.exe*Newly Created Service* — PROCEXP90
.
— — — — ORPHANS REMOVED — — — —HKCU-Run-MsnMsgr — C:Program FilesMSN MessengerMsnMsgr.Exe
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = hxxp://www.rambler.ru/ri6
O17 -: HKLMCCSInterface{1D935875-53DB-4047-87B3-42E04E27624B}: NameServer = 217.195.65.9 217.195.66.253
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-04 22:18:49
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
**************************************************************************
.
Completion time: 2008-10-04 22:20:07
ComboFix-quarantined-files.txt 2008-10-04 18:19:56Pre-Run: 4 030 963 712 ???? ????????
Post-Run: 4,450,246,656 ???? ????????101
Вот пожалуйста, что дальше сделать?
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Что-то у меня реклама еще чаще вылезает теперь…Может я что-то не то делаю?
Продолжим нашу работу.
Судя по Combofix логу, вы также заражены autorun.inf вирусом/трояном (W32.SillyFDC, Trojan-Downloader.Win32). Предположительно через заражённую флэшку или флоппи диск. Из Combofix лога так же видно, что бы заражён ваш диск H. Что это за диск ?Откройте блокнот и вставьте в него следующий текст:
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
File::
c:windowsnideiect.comЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Combofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ComboFix 08-10-04.07 — ???????? 2008-10-05 17:47:42.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.170 [GMT 4:00]
Running from: C:Documents and Settings??????????????? ????ComboFix.exe
Command switches used :: C:Documents and Settings??????????????? ????CFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.D:Autorun.inf
E:Autorun.inf
F:Autorun.inf
C:WINDOWS????????.exe . . . . failed to delete.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_MCHINJDRV((((((((((((((((((((((((( Files Created from 2008-09-05 to 2008-10-05 )))))))))))))))))))))))))))))))
.2008-10-05 11:40 . 2008-10-05 11:40 69 —a
C:WINDOWSNeroDigital.ini
2008-10-04 22:18 . 2008-10-04 22:18d—s—- C:WINDOWSCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 . 2008-10-04 22:18d
C:Documents and SettingsСветочка
2008-10-02 21:48 . 2008-10-02 21:48d
C:Program FilesTrend Micro
2008-10-02 20:37 . 2008-10-02 20:37d
C:Program FilesMalwarebytes’ Anti-Malware
2008-10-02 20:37 . 2008-10-02 20:37d
C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-10-02 20:37 . 2008-09-10 00:04 38,528 —a
C:WINDOWSsystem32driversmbamswissarmy.sys
2008-10-02 20:37 . 2008-09-10 00:03 17,200 —a
C:WINDOWSsystem32driversmbam.sys
2008-10-01 22:18 . 2008-10-01 22:20 1,624 —a
C:WINDOWSsystem32tmp.reg
2008-09-17 22:22 . 2008-09-17 22:22d
C:Program FilesABBYY FineReader 8.0 Professional Edition
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal SettingsTemp
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal Settings
2008-09-06 21:49 . 2008-09-06 21:49d
C:Documents and SettingsAll Users.WINDOWSApplication DataAdobe Systems
2008-09-06 21:41 . 2008-09-06 21:41d
C:Program FilesCommon FilesAdobe Systems Shared
2008-09-06 21:29 . 2008-09-06 21:29d
C:Program FilesPSCS2.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 11:51 87,552 —-a-w C:WINDOWSsystem32VACFix.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32o4Patch.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32IEDFix.C.exe
2008-09-08 19:38 88,576 —-a-w C:WINDOWSsystem32AntiXPVSTFix.exe
2008-09-07 15:02 2,560
w C:WINDOWS_MSRSTRT.EXE
2008-08-18 08:19 82,432 —-a-w C:WINDOWSsystem32404Fix.exe
2008-02-26 17:22 169 —sh—w C:Program Filesjvrarxe.inf
2001-11-23 03:08 712,704 —-a-r C:WINDOWSinfOTHERAUDIO3D.DLL
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2004-08-17 15360][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»C:WINDOWSSiSUSBrg.exe» [2002-07-12 106496]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«ISTray»=»C:Program FilesSpyware DoctorpctsTray.exe» [2008-06-23 1107848]
«C-Media Mixer»=»Mixer.exe» [2003-03-20 C:WINDOWSmixer.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=NVDESK32.DLL[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«VIDC.YV12″= yv12vfw.dll
«msacm.divxa32″= divxa32.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\ICQ6\ICQ.exe»=S3 FXDRV;FXDRV;G:Fxdrv.sys [ ]
S3 SiSV6306;SiSV6306;C:WINDOWSsystem32DRIVERSSiS6306p.sys [2001-08-17 68608]
S3 usbprint;Класс принтеров Microsoft USB;C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 USBSTOR;Драйвер запоминающих устройств для USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
ShellAutoRuncommand — nideiect.com
ShellexploreCommand — nideiect.com
ShellopenCommand — nideiect.com[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
ShellAutoRuncommand — H:ebvldhc.exe
ShellexploreCommand — H:ebvldhc.exe
ShellopenCommand — H:ebvldhc.exe*Newly Created Service* — MCHINJDRV
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 17:50:54
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
C:WINDOWSSYSTEM32SISTRAY.EXE
C:Program FilesSpyware Doctorsdloader.exe
.
**************************************************************************
.
Completion time: 2008-10-05 17:52:10 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-05 13:52:08
ComboFix3.txt 2008-10-04 18:20:10
ComboFix2.txt 2008-10-04 18:45:04Pre-Run: 4 334 428 160 ???? ????????
Post-Run: 4,274,380,800 ???? ????????117
По поводу диска Н, честно говоря не знаю, может это второй винчестер, у меня их 2.
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
Я поняла, это моя флешка диск -Н. Но я ее проверила на вирусы, они не найдены. Что с ней надо сделать? 😕
Прочитайте следующую инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.
Выполните тот раздел, в котором описывается как использовать Flash Disinfector.Перезапустите свой компьютер.
Запустите Combofix.Вставьте в ваше ответное сообщение Combofix лог.
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ComboFix 08-10-04.07 — ???????? 2008-10-06 10:49:01.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.238 [GMT 4:00]
Running from: C:Documents and Settings??????????????? ????ComboFix.exe
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.C:WINDOWS????????.exe . . . . failed to delete
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
Legacy_MCHINJDRV((((((((((((((((((((((((( Files Created from 2008-09-06 to 2008-10-06 )))))))))))))))))))))))))))))))
.2008-10-05 11:40 . 2008-10-05 21:16 116 —a
C:WINDOWSNeroDigital.ini
2008-10-04 22:18 . 2008-10-04 22:18d—s—- C:WINDOWSCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 . 2008-10-04 22:18d
C:Documents and SettingsСветочка
2008-10-02 21:48 . 2008-10-02 21:48d
C:Program FilesTrend Micro
2008-10-02 20:37 . 2008-10-02 20:37d
C:Program FilesMalwarebytes’ Anti-Malware
2008-10-02 20:37 . 2008-10-02 20:37d
C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-10-02 20:37 . 2008-09-10 00:04 38,528 —a
C:WINDOWSsystem32driversmbamswissarmy.sys
2008-10-02 20:37 . 2008-09-10 00:03 17,200 —a
C:WINDOWSsystem32driversmbam.sys
2008-10-01 22:18 . 2008-10-01 22:20 1,624 —a
C:WINDOWSsystem32tmp.reg
2008-09-17 22:22 . 2008-09-17 22:22d
C:Program FilesABBYY FineReader 8.0 Professional Edition
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal SettingsTemp
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal Settings
2008-09-06 21:49 . 2008-09-06 21:49d
C:Documents and SettingsAll Users.WINDOWSApplication DataAdobe Systems
2008-09-06 21:41 . 2008-09-06 21:41d
C:Program FilesCommon FilesAdobe Systems Shared
2008-09-06 21:29 . 2008-09-06 21:29d
C:Program FilesPSCS2.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 11:51 87,552 —-a-w C:WINDOWSsystem32VACFix.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32o4Patch.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32IEDFix.C.exe
2008-09-08 19:38 88,576 —-a-w C:WINDOWSsystem32AntiXPVSTFix.exe
2008-09-07 15:02 2,560
w C:WINDOWS_MSRSTRT.EXE
2008-08-18 08:19 82,432 —-a-w C:WINDOWSsystem32404Fix.exe
2008-02-26 17:22 169 —sh—w C:Program Filesjvrarxe.inf
2001-11-23 03:08 712,704 —-a-r C:WINDOWSinfOTHERAUDIO3D.DLL
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2004-08-17 15360]
«PopUpStopperFreeEdition»=»C:PROGRA~1PANICW~1POP-UP~1PSFREE.EXE» [2003-04-29 524288][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»C:WINDOWSSiSUSBrg.exe» [2002-07-12 106496]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«C-Media Mixer»=»Mixer.exe» [2003-03-20 C:WINDOWSmixer.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=NVDESK32.DLL[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«VIDC.YV12″= yv12vfw.dll
«msacm.divxa32″= divxa32.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\ICQ6\ICQ.exe»=S3 FXDRV;FXDRV;G:Fxdrv.sys [ ]
S3 SiSV6306;SiSV6306;C:WINDOWSsystem32DRIVERSSiS6306p.sys [2001-08-17 68608]
S3 usbprint;Класс принтеров Microsoft USB;C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 USBSTOR;Драйвер запоминающих устройств для USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
ShellAutoRuncommand — nideiect.com
ShellexploreCommand — nideiect.com
ShellopenCommand — nideiect.com[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
ShellAutoRuncommand — H:ebvldhc.exe
ShellexploreCommand — H:ebvldhc.exe
ShellopenCommand — H:ebvldhc.exe
.
.
Supplementary Scan
.
R0 -: HKCU-Main,Start Page = hxxp://www.rambler.ru/ri6
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-06 10:51:39
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
Other Running Processes
.
C:PROGRAM FILESPANICWAREPOP-UP STOPPER FREE EDITIONPSFREE.EXE
C:WINDOWSSYSTEM32SISTRAY.EXE
C:ComboFixpv.cfexe
.
**************************************************************************
.
Completion time: 2008-10-06 10:52:46 — machine was rebooted
ComboFix-quarantined-files.txt 2008-10-06 06:52:44
ComboFix4.txt 2008-10-04 18:20:10
ComboFix3.txt 2008-10-04 18:45:04
ComboFix2.txt 2008-10-05 13:52:12Pre-Run: 4 493 549 568 ???? ????????
Post-Run: 4,483,203,072 ???? ????????119
Откройте блокнот и вставьте в него следующий текст:
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
File::
c:windowssystem32nideiect.com
c:windowsnideiect.com
c:nideiect.comЗапишите получившийся файл на ваш рабочий стол под именем CFScript.
Далее перетащите получившийся файл на иконку CombofixПо результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
ComboFix 08-10-05.11 — ???????? 2008-10-06 21:07:20.1 — FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.201 [GMT 4:00]
Running from: C:Documents and Settings??????????????? ????ComboFix.exe
Command switches used :: C:Documents and Settings??????????????? ????CFScript.txt
* Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
/wow section not completed((((((((((((((((((((((((( Files Created from 2008-09-06 to 2008-10-06 )))))))))))))))))))))))))))))))
.2008-10-05 11:40 . 2008-10-05 21:16 116 —a
C:WINDOWSNeroDigital.ini
2008-10-04 22:18 . 2008-10-04 22:18d—s—- C:WINDOWSCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaLocal Settings
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 .C:Documents and SettingsNaaoi?eaCookies
2008-10-04 22:18 . 2008-10-04 22:18d
C:Documents and SettingsСветочка
2008-10-02 21:48 . 2008-10-02 21:48d
C:Program FilesTrend Micro
2008-10-02 20:37 . 2008-10-02 20:37d
C:Program FilesMalwarebytes’ Anti-Malware
2008-10-02 20:37 . 2008-10-02 20:37d
C:Documents and SettingsAll Users.WINDOWSApplication DataMalwarebytes
2008-10-02 20:37 . 2008-09-10 00:04 38,528 —a
C:WINDOWSsystem32driversmbamswissarmy.sys
2008-10-02 20:37 . 2008-09-10 00:03 17,200 —a
C:WINDOWSsystem32driversmbam.sys
2008-10-01 22:18 . 2008-10-01 22:20 1,624 —a
C:WINDOWSsystem32tmp.reg
2008-09-17 22:22 . 2008-09-17 22:22d
C:Program FilesABBYY FineReader 8.0 Professional Edition
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal SettingsTemp
2008-09-07 21:17 . 2008-09-07 21:17d
C:Documents and SettingsLocal Settings
2008-09-06 21:49 . 2008-09-06 21:49d
C:Documents and SettingsAll Users.WINDOWSApplication DataAdobe Systems
2008-09-06 21:41 . 2008-09-06 21:41d
C:Program FilesCommon FilesAdobe Systems Shared
2008-09-06 21:29 . 2008-09-06 21:29d
C:Program FilesPSCS2.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-01 11:51 87,552 —-a-w C:WINDOWSsystem32VACFix.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32o4Patch.exe
2008-09-19 08:26 82,944 —-a-w C:WINDOWSsystem32IEDFix.C.exe
2008-09-08 19:38 88,576 —-a-w C:WINDOWSsystem32AntiXPVSTFix.exe
2008-09-07 15:02 2,560
w C:WINDOWS_MSRSTRT.EXE
2008-08-18 08:19 82,432 —-a-w C:WINDOWSsystem32404Fix.exe
2008-02-26 17:22 169 —sh—w C:Program Filesjvrarxe.inf
2001-11-23 03:08 712,704 —-a-r C:WINDOWSinfOTHERAUDIO3D.DLL
.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2004-08-17 15360]
«PopUpStopperFreeEdition»=»C:PROGRA~1PANICW~1POP-UP~1PSFREE.EXE» [2003-04-29 524288][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SiSUSBRG»=»C:WINDOWSSiSUSBrg.exe» [2002-07-12 106496]
«NeroFilterCheck»=»C:WINDOWSsystem32NeroCheck.exe» [2001-07-09 155648]
«ISTray»=»C:Program FilesSpyware DoctorpctsTray.exe» [2008-06-23 1107848]
«C-Media Mixer»=»Mixer.exe» [2003-03-20 C:WINDOWSmixer.exe][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2004-08-17 15360][HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
«AppInit_DLLs»=NVDESK32.DLL[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«VIDC.YV12″= yv12vfw.dll
«msacm.divxa32″= divxa32.acm[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«UpdatesDisableNotify»=dword:00000001
«AntiVirusOverride»=dword:00000001[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\ICQ6\ICQ.exe»=S3 FXDRV;FXDRV;G:Fxdrv.sys [ ]
S3 SiSV6306;SiSV6306;C:WINDOWSsystem32DRIVERSSiS6306p.sys [2001-08-17 68608]
S3 usbprint;Класс принтеров Microsoft USB;C:WINDOWSsystem32DRIVERSusbprint.sys [2004-08-03 25856]
S3 USBSTOR;Драйвер запоминающих устройств для USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2004-08-03 26496][HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{9d3aec68-404a-11dd-8d9b-001558483a85}]
ShellAutoRuncommand — nideiect.com
ShellexploreCommand — nideiect.com
ShellopenCommand — nideiect.com[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{ac76618a-e497-11dc-8cea-842c835f9cfc}]
ShellAutoRuncommand — H:ebvldhc.exe
ShellexploreCommand — H:ebvldhc.exe
ShellopenCommand — H:ebvldhc.exe
.**************************************************************************
catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-06 21:07:38
Windows 5.1.2600 Service Pack 2 FAT NTAPIscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
**************************************************************************
.
Completion time: 2008-10-06 21:08:36
ComboFix-quarantined-files.txt 2008-10-06 17:08:36
ComboFix4.txt 2008-10-04 18:45:04
ComboFix3.txt 2008-10-05 13:52:12
ComboFix5.txt 2008-10-06 17:06:50
ComboFix2.txt 2008-10-06 06:52:48Pre-Run: 4 439 867 392 ???? ????????
Post-Run: 4,432,470,016 ???? ????????101
Так когда уже реклама удалиться уже столько действий было сделано, а результата нет? ❓
1. Реклама на рабочем столе или в InternetExplorer присутствует сейчас ?
2. Combofix лог практически чист, НО показывает присутствие autorun вируса, котрый автоматически запускается при открытии некоторых дисков, например диска H. Последние наши действия и направлены на его удаление.
3. За последние дни вы использовали ЛЮБЫЕ другие подключаемые диски (флешки или флопи диски) ?
4. Вы выполнили инструкцию по использованию Flash_Disinfector ?
5. Попробуйте проверить свой компьютер используя Kaspersky Lab онлайн сканер.
Когда модуль сканера загрузиться, откройте меню настроек (Settings) и выберите расширенную базу (Extended).
И ещё, после сканирования, вам будет предоставлена возможность записать лог файл, пожалуйста запишите его и вставьте в своё следующее сообщение.- Темы:532
- Сообщений:1553
- ☆☆☆☆☆
1. Да, реклама выскакивает каждый раз когда я захожу в интернет, такой прямоугольной табличкой. Она появляется слева и улетает вправо 🙁 ….Бесит ужасно!
2. В последнее время не использовала другие флешки, только свою.
3. Да выполнила все как писали, но даже после этих действий, я специально проверяла, реклама опять появляется.
4. Я не совсем поняла как можно проверить весь компьютер, там только файлы отдельные возможно проверить. Может я не правильно делаю, напишите, пжл, более подробную инструкцию.Я решила вам более подробно объяснить, что это за дрянь вылазит у меня на компьютере.
Ниже скопировала текст который появляется, когда я нажимаю на эту злосчастную рекламу:
ATTENTION! If your computer is infected, you could suffer data loss, erratic PC behaviour, PC freezes and crashes.
Detect and remove viruses before they damage your computer!
Total Secure 2009 will perform a quick and 100% FREE scan of your computer for Viruses, Spyware and Adware.Do you want to install Total Secure 2009 to scan your computer for malware now? (Recommended)
Дальше предлагается нажать либо «да» либо «отмена», я нажимаю «отмена» и вот что появляется:
Total Secure 2009 will scan your system for threats now.
Please select «RUN» or «OPEN» when prompted to start the installation.
This file has been digitally signed and independently certified as 100% free of viruses, adware and spyware.
Вы знаете, что это значит???? 😕
- Для ответа в этой теме необходимо авторизоваться.
