- This topic has 2 ответа, 1 участник, and was last updated 15 years, 4 months назад by
.
-
Сообщения
-
Доброго времени суток ❗
Распространенная проблемма: всплыл баннерок на рабочем столе. Все делал по указаниям, но ДелДжоп не эффективен в моем случае — поудалял что то подозрительное на свой взгляд — непоммогло. Затем Комбо фикс запустил, при чем он похоже сам скачал все что нужно ему. В общем баннер исчез,
НО ❗
через день решил перезагрузить ноут (при закрытом состоянии работает в спящем режиме) и сново появился зловещий баннер! Через минуту он исчез, а антивирус (НОД32) нашел что то зараженное…и обезвредил (вроде 😉 ), так еще и опера перестала работать 😕 .
У оперы экзешник переместился в другую папку. Тож самое было и при первом появлении банера. Я перенес его на место — вроде все ок.Теперь просьба и вопрос ❗
Проверьте плиз отчет с комбофикса (гдето вычитал что можете так сделать).
Стоит ли при данной ситуации делать повторные проверки, либо устанавливать доп программы защиты и оптимизации ❓
Возможно ли что баннер опять появится при перезагрузке и все может повториться ❓
Нужно ли удалять Комбо после завершения всех операций ❓Заранее спасибо Вам 😎
а вот и сам отчет))) чуть не забыл):
ComboFix 10-03-29.04 — Dunbass 31.03.2010 12:25:05.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1014.613 [GMT 4:00]
Running from: c:documents and settingsDunbassРабочий столComboFix.exe
* Resident AV is active.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.c:docume~1DunbassLOCALS~1Temptmp2.tmp
c:windowsAppPatchCustom{deb7008b-681e-4a4a-8aae-cc833e8216ce}.sdb
c:windowsdel.bat
c:windowssystem32Config.cfg
c:windowssystem32drivers1028_DELL_XPS_Dell 500 .MRK
c:windowssystem32driversDELL_XPS_Dell 500 .MRK
c:windowssystem32lowsec
c:windowssystem32lowseclocal.ds
c:windowssystem32lowsecuser.ds
c:windowssystem32lowsecuser.ds.lllc:windowssystem32driversbeep.sys . . . is infected!!
.
((((((((((((((((((((((((( Files Created from 2010-02-28 to 2010-03-31 )))))))))))))))))))))))))))))))
.2010-03-30 09:27 . 2010-03-30 09:27
d
w- c:program filesCommon FilesSkype
2010-03-17 20:01 . 2010-03-18 18:41
d
w- c:documents and settingsDunbassApplication DataDomEconom
2010-03-17 20:01 . 2010-03-17 20:01
d
w- c:program filesDomEconom
2010-03-05 21:45 . 2010-03-05 21:45
d
w- c:program filesMTC SMS-MMS
2010-03-05 21:45 . 2010-03-05 21:45 29926 —-a-r- c:documents and settingsDunbassApplication DataMicrosoftInstaller{394BE3D9-7F57-4638-A8D1-1D88671913B7}_18be6784.exe
2010-03-05 21:45 . 2010-03-05 21:45 29422 —-a-r- c:documents and settingsDunbassApplication DataMicrosoftInstaller{394BE3D9-7F57-4638-A8D1-1D88671913B7}_294823.exe
2010-03-01 14:11 . 2010-03-01 14:11
d
w- c:windowsSun.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-31 08:25 . 2008-04-15 15:00 76340 —-a-w- c:windowssystem32perfc019.dat
2010-03-31 08:25 . 2008-04-15 15:00 449372 —-a-w- c:windowssystem32perfh019.dat
2010-03-31 02:15 . 2009-04-27 07:17
d
w- c:program filesOpera
2010-03-31 00:35 . 2009-07-20 07:40
d
w- c:documents and settingsDunbassApplication DataSkype
2010-02-20 14:41 . 2010-02-20 14:41
d
w- c:documents and settingsDunbassApplication DataHpUpdate
2010-02-20 14:41 . 2009-04-22 16:14
d
w- c:program filesHP
2010-01-12 16:33 . 2010-01-12 16:33 32 —-a-w- c:documents and settingsAll UsersApplication Dataezsid.dat
2009-04-28 11:44 . 2009-04-28 11:41 952 —sha-w- c:windowssystem32KGyGaAvL.sys
.
Sigcheck
[-] 2008-05-17 . DDD3D4AE703C7CEEE45041B58AE243FF . 360832 . . [5.1.2600.3244] . . c:windowssystem32driverstcpip.sys
[-] 2008-05-17 . F5FD10649B40F2E2CF03951AAAB98F17 . 80216 . . [7.0.6000.381] . . c:windowssystem32wuauclt.exe
[-] 2008-05-17 . F993AFBFC9214C63B07A9BE39FB97F74 . 2197632 . . [5.1.2600.5512] . . c:windowssystem32ntoskrnl.exe
[-] 2008-05-17 . 97327F150240C3D8E70D1BBB44E27836 . 588288 . . [5.1.2600.5512] . . c:windowssystem32user32.dll
[-] 2008-05-17 . 484BBA09022213D4553971179A87E2B6 . 952320 . . [7.00.6000.20772] . . c:windowssystem32wininet.dll
[-] 2008-03-16 . 66968F77AC373B5087FAD65E0E6D62B6 . 1611264 . . [6.00.2900.3156] . . c:windowsexplorer.exe
[-] 2008-05-17 . 3166532163F6E3DDECB4385A9BEEA152 . 1571840 . . [5.1.2600.5512] . . c:windowssystem32sfcfiles.dll
[-] 2008-05-17 . D92BE429541F729ED2FF3908ADCB2685 . 30208 . . [5.1.2600.5512] . . c:windowssystem32ctfmon.exe
[-] 2008-05-17 . EB61A4891835FABF47F9736E8B7D7694 . 2074496 . . [5.1.2600.5512] . . c:windowssystem32ntkrnlpa.exe
c:windowsSystem32driversbeep.sys … is missing !!
c:windowsSystem32wscntfy.exe … is missing !!
c:windowsSystem32regsvc.dll … is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«KillCopy»=»c:windowssystem32killcopy.exe» [2006-10-29 1185792]
«Aml Maple»=»c:program filesAmlMapleAmlMaple.exe» [2008-03-14 88576]
«StatBar»=»c:program filesGlobe SoftwareStatBarStatBar.exe» [2003-07-24 335872]
«VisualTaskTips»=»c:program filesVisualTaskTipsVisualTaskTips.exe» [2008-03-22 61440]
«LClock»=»c:program filesLClockLClock.exe» [2007-12-19 135168]
«DAEMON Tools Pro Agent»=»c:program filesDAEMON Tools ProDTProAgent.exe» [2007-09-06 136136]
«BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}»=»c:program filesCommon FilesNeroLibNMBgMonitor.exe» [2007-08-03 202024]
«Innerpass»=»c:documents and settingsAll UsersApplication DataSkypePluginsPlugins9E0D937F462E4362A83B254A9F8AB3F8InnerPassFileSharing.exe» [2009-09-29 258048][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«PHIME2002ASync»=»c:windowssystem32IMETINTLGNTTINTSETP.EXE» [2008-04-15 455168]
«PHIME2002A»=»c:windowssystem32IMETINTLGNTTINTSETP.EXE» [2008-04-15 455168]
«Vistadrv»=»c:windowsXPLifeProgramsXPDrivevsdrv.exe» [2006-07-29 121089]
«UnlockerAssistant»=»c:program filesUnlockerUnlockerAssistant.exe» [2006-09-07 15872]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-09-05 141848]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-09-05 166424]
«Persistence»=»c:windowssystem32igfxpers.exe» [2007-09-05 137752]
«Dell QuickSet»=»c:program filesDellQuickSetquickset.exe» [2007-12-10 1228800]
«SigmatelSysTrayApp»=»c:program filesSigmaTelC-Major AudioWDMstsystra.exe» [2007-05-10 405504]
«Apoint»=»c:program filesDellTPadApoint.exe» [2007-10-25 167936]
«IntelZeroConfig»=»c:program filesIntelWiFibinZCfgSvc.exe» [2008-08-20 1368064]
«IntelWireless»=»c:program filesCommon FilesIntelWirelessCommoniFrmewrk.exe» [2008-08-20 1191936]
«egui»=»c:program filesESETESET Smart Securityegui.exe» [2008-03-13 1443072]
«ToolBoxFX»=»c:program filesHPToolBoxFXbinHPTLBXFX.exe» [2006-06-15 49152]
«HP Software Update»=»c:program filesHPHP Software UpdateHPWuSchd2.exe» [2008-12-08 54576]
«H2O»=»c:program filesSyncroSoftPosH2Ocledx.exe» [2007-12-11 307200]
«NBKeyScan»=»c:program filesNeroNero8Nero BackItUpNBKeyScan.exe» [2007-08-08 1828136]
«SMS и MMS с компьютера»=»c:program filesMTC SMS-MMSmw.exe» [2010-01-18 2100736][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-05-17 30208]
«KillCopy»=»c:windowssystem32killcopy.exe» [2006-10-29 1185792]
«Aml Maple»=»c:program filesAmlMapleAmlMaple.exe» [2008-03-14 88576]
«StatBar»=»c:program filesGlobe SoftwareStatBarStatBar.exe» [2003-07-24 335872]
«VisualTaskTips»=»c:program filesVisualTaskTipsVisualTaskTips.exe» [2008-03-22 61440]
«LClock»=»c:program filesLClockLClock.exe» [2007-12-19 135168]
«Sidebar»=»c:program filesWindows SidebarSidebar.exe» [2007-02-26 1254912][HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRunOnce]
«IE7_011″=»shell32» [X]
«nltide_3″=»advpack.dll» [2008-05-16 124928]
«IE7_012″=»advpack.dll» [2008-05-16 124928]c:windowssystem32configsystemprofileѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
YzShadow.lnk — c:program filesYzShadowYzShadow.exe [2009-4-19 143360]c:documents and settingsDefault Userѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
YzShadow.lnk — c:program filesYzShadowYzShadow.exe [2009-4-19 143360]c:windowssystem32configsystemprofileѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
YzShadow.lnk — c:program filesYzShadowYzShadow.exe [2009-4-19 143360]c:documents and settingsDunbassѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
Total Commander.lnk — c:program filesTotal CommanderTotalcmd.exe [2007-7-15 2893800]c:documents and settingsAll Usersѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
BTTray.lnk — c:program filesWIDCOMMBluetooth SoftwareBTTray.exe [2007-5-17 568176]
Digital Line Detect.lnk — c:program filesDigital Line DetectDLG.exe [2009-4-20 50688]
HP Digital Imaging Monitor.lnk — c:program filesHPDigital Imagingbinhpqtra08.exe [2006-2-19 288472]c:windowssystem32configsystemprofileѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
YzShadow.lnk — c:program filesYzShadowYzShadow.exe [2009-4-19 143360][HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregHPUsageTracking]
2006-06-14 11:20 36864 —-a-w- c:program filesHPHP UTbinhppusg.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
2007-03-01 11:57 153136 —-a-w- c:program filesCommon FilesNeroLibNeroCheck.exe[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\WINDOWS\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\uTorrent\uTorrent.exe»=
«c:\Program Files\Skype\Plugin Manager\skypePM.exe»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=R2 ekrn;Eset Service;c:program filesESETESET Smart Securityekrn.exe [13.03.2008 17:49 472320]
R3 CLEDX;Team H2O CLEDX service;c:windowssystem32driverscledx.sys [07.06.2009 15:16 33792]
S0 sptd;sptd;c:windowssystem32driverssptd.sys [19.04.2009 21:05 685816]
S3 Alesis1394;Alesis1394 Driver;c:windowssystem32driversAlesis1394.sys [07.06.2009 15:52 108416]
S3 Alesis1394Midi;%Alesis1394Midi.SvcDesc%;c:windowssystem32driversAlesis1394Midi.sys [07.06.2009 15:52 16640]
S3 Alesis1394Strm;%Alesis1394Strm.SvcDesc%;c:windowssystem32driversAlesis1394Strm.sys [07.06.2009 15:52 18176]
S3 AlesisFirewire;Alesis Firewire;c:windowssystem32driversAlesisFirewire.sys [07.06.2009 18:12 119680]
S3 AlesisFirewireAudio;Alesis Firewire Audio;c:windowssystem32driversAlesisFirewireAudio.sys [07.06.2009 18:12 19456]
S3 AlesisFirewireMidi;Alesis Firewire MIDI;c:windowssystem32driversAlesisFirewireMidi.sys [07.06.2009 18:12 19456][HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{34A19196-274E-4D75-9D30-D7A45A0A4178}]
2004-08-04 02:07 11776 —-a-w- c:program filesWindows Sidebarregsvr32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{6B9228DA-9C15-419e-856C-19E768A13BDC}]
2004-08-04 02:07 11776 —-a-w- c:program filesWindows Sidebarregsvr32.exe[HKEY_LOCAL_MACHINEsoftwaremicrosoftactive setupinstalled components{BADA65A0-86B7-462B-B720-CE66655C73F5}]
2006-11-09 05:57 38912 —-a-w- c:program filesWindows SidebarVAIOvshellext.dll
.
.
Supplementary Scan
.
uStart Page = https://info.major-ltl.ru/Login.aspx
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: SoftwareMicrosoftInternet ExplorerSearchUrl; ValueType: string; ValueName: ‘; ValueData: ‘; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Отправить на устройство Bluetooth… — c:program filesWIDCOMMBluetooth Softwarebtsendto_ie_ctx.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
.
— — — — ORPHANS REMOVED — — — —BHO-{0CC10406-CE36-F97F-98D5-4710CE7EDA60} — C:amZLx5z8H6kB.dll
ActiveSetup-Windows Sidebar — c:windowssystem32hidec
AddRemove-Microsoft .NET Framework 2.0 Language Pack — RUS — c:windowsMicrosoft.NETFrameworkv2.0.50727Microsoft .NET Framework 2.0 Language Pack — RUSinstall.exe
AddRemove-_{7C5123A9-30A8-4C44-89CA-A8C87A1FCC91} — c:program filesCorelCorelDRAW Graphics Suite 13ProgramsMSILauncher {7C5123A9-30A8-4C44-89CA-A8C87A1FCC91}**************************************************************************
catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-31 12:28
Windows 5.1.2600 Service Pack 3 NTFSscanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0**************************************************************************
.
DLLs Loaded Under Running Processes
— — — — — — — > ‘winlogon.exe'(1400)
c:windowssystem32SETUPAPI.dll
c:windowssystem32netprovcredman.dll
c:windowssystem32cscui.dll
c:windowssystem32COMRes.dll— — — — — — — > ‘lsass.exe'(1496)
c:windowssystem32SETUPAPI.dll
.
Completion time: 2010-03-31 12:29:39
ComboFix-quarantined-files.txt 2010-03-31 08:29Pre-Run: 14 963 875 840 байт свободно
Post-Run: 15 598 313 472 байт свободноWindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect— — End Of File — — 509B7807B578913313DE80F4C5952A52
- Для ответа в этой теме необходимо авторизоваться.
