Результат удаления порно баннера

[Аноним]

Добрый день.
Я не оригинальна-тот же лозунг на весь экран.
После двух дней битвы чайника с системой, скачала combofix,установила под визги и протесты компа. Вроде все ОК.
Здорово.Спасибо.(Кстати, если оч. быстро нажать кнопку включения компа, баннер исчезает до следующей перезагрузки. По крайней мере так было у меня. Может это кому-нибудь поможет, чтобы иметь возможность обратиться за помощью)
Лог следующий

ComboFix 10-01-21.06 — Марианна 22.01.2010 12:13:20.1.1 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.767.475 [GMT 2:00]
Running from: c:documents and settingsМарианнаРабочий столComboFix.exe
AV: Антивирусная система Eset NOD32 2.51 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Resident AV is active

.
ADS — svchost.exe: deleted 68 bytes in 1 streams.
ADS — ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS — explorer.exe: deleted 132 bytes in 1 streams.
ADS — win32k.sys: deleted 68 bytes in 1 streams.
ADS — netcfgx.dll: deleted 100 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr0.dat
c:documents and settingsAll UsersApplication DataMicrosoftNetworkDownloaderqmgr1.dat
c:documents and settingsЊ аЁ ­­ Њ®Ё ¤®Єг¬Ґ­влcc_20091014_224830.reg

---

BITS: Possible infected sites

---

hxxp://soft.export.yandex.ru
hxxp://download.yandex.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_NETSIK

---

Legacy_NICSK32

---

Legacy_PORT135SIK

---

Service_acpi32

---

Service_ati64si

---

Service_fips32cup

---

Service_i386si

---

Service_ksi32sk

---

Service_netsik

---

Service_nicsk32

---

Service_port135sik

---

Service_securentm

---

Service_systemntmi

---

Service_ws2_32sik

((((((((((((((((((((((((( Files Created from 2009-12-22 to 2010-01-22 )))))))))))))))))))))))))))))))
.

2010-01-07 14:33 . 2010-01-07 14:33

---

d

---

w- c:program filesTiger Technologies

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 13:12 . 2010-01-11 13:12 572 —-a-w- c:program filesЯрлык для Free Offers from Freeze.com.lnk
2010-01-11 13:08 . 2009-06-11 22:23

---

d

---

w- c:program filescampaper
2010-01-03 18:01 . 2008-11-10 20:36

---

d

---

w- c:documents and settingsМарианнаApplication DatauTorrent
2009-11-29 01:27 . 2007-08-15 11:55

---

d—h—w- c:program filesInstallShield Installation Information
2009-10-25 06:27 . 2004-08-18 10:00 77534 —-a-w- c:windowssystem32perfc019.dat
2009-10-25 06:27 . 2004-08-18 10:00 451468 —-a-w- c:windowssystem32perfh019.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2006-04-06 971776]
«MSMSGS»=»c:program filesMessengermsmsgs.exe» [2004-10-13 1694208]
«DAEMON Tools Lite»=»c:program filesDAEMON Tools Litedaemon.exe» [2008-02-13 486856]
«YandexOnline»=»c:program filesYandexOnlineonline.exe» [2009-06-22 2558728]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NVRaidService»=»c:windowssystem32nvraidservice.exe» [2004-06-11 83968]
«SoundMan»=»SOUNDMAN.EXE» [2005-05-17 77824]
«NeroFilterCheck»=»c:windowssystem32NeroCheck.exe» [2001-07-09 155648]
«Ulead AutoDetector v2″=»c:program filesCommon FilesUlead SystemsAutoDetectormonitor.exe» [2004-08-27 90112]
«nod32kui»=»c:program filesEsetnod32kui.exe» [2007-09-07 921600]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-18 15360]

c:documents and settingsЊ аЁ ­­ ѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
Adobe Gamma.lnk — c:program filesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe [2005-3-16 113664]

c:documents and settingsAll Usersѓ« ў­®Ґ ¬Ґ­оЏа®Ја ¬¬лЂўв®§ Јаг§Є 
Adobe Reader Speed Launch.lnk — c:program filesAdobeReader 8.0Readerreader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk — c:program filesAdobeReader 8.0ReaderAdobeCollabSync.exe [2006-10-22 734872]
InterVideo WinCinema Manager.lnk — c:program filesInterVideoCommonBinWinCinemaMgr.exe [2007-8-15 278528]

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\uTorrent [tfile.ru]\utorrent.exe»=
«c:\WINDOWS\system32\nvraidservice.exe»=
«c:\WINDOWS\SOUNDMAN.EXE»=
«c:\Program Files\Common Files\Ulead Systems\Autodetector\Monitor.exe»=
«c:\Program Files\ESET\nod32kui.exe»=
«c:\Program Files\Yandex\Online\online.exe»=
«c:\Program Files\Download Master\dmaster.exe»=
«c:\Program Files\Messenger\msmsgs.exe»=
«c:\Program Files\DAEMON Tools Lite\daemon.exe»=
«c:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAR.EXE»=
«c:\Program Files\InterVideo\DVD7\WinDVD.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«3389:TCP»= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 sptd;sptd;c:windowssystem32driverssptd.sys [29.06.2008 22:58 716272]
R3 FStarForce;FStarForce;c:windowssystem32driversFStarForce.sys [31.01.2009 20:00 8704]
S2 amd64si;amd64si;??c:windowssystem32driversamd64si.sys —> c:windowssystem32driversamd64si.sys [?]
S2 Seekeen Service;Seekeen Service;»c:documents and settingsAll UsersApplication DataSeekeenseekeen140.exe» «c:program filesSeekeenseekeen.dll» Service —> c:documents and settingsAll UsersApplication DataSeekeenseekeen140.exe [?]
.
Contents of the ‘Scheduled Tasks’ folder
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/?clid=40316
IE: &Google Search — c:program filesgoogleGoogleToolbar1.dll/cmsearch.html
IE: &Translate English Word — c:program filesgoogleGoogleToolbar1.dll/cmwordtrans.html
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Backward Links — c:program filesgoogleGoogleToolbar1.dll/cmbacklinks.html
IE: Cached Snapshot of Page — c:program filesgoogleGoogleToolbar1.dll/cmcache.html
IE: Similar Pages — c:program filesgoogleGoogleToolbar1.dll/cmsimilar.html
IE: Translate Page into English — c:program filesgoogleGoogleToolbar1.dll/cmtrans.html
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
LSP: c:windowssystem32imon.dll
TCP: {14507519-F167-4471-8C83-2AC522702FA8} = 193.200.65.1
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 12:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvatabus.sys spwk.sys >>UNKNOWN [0x8398E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
DriverDisk -> CLASSPNP.SYS @ 0xf756cfc3
DriverACPI -> ACPI.sys @ 0xf730acb8
Driveratapi -> 0x839db1f8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577e5c
ParseProcedure -> ntkrnlpa.exe @ 0x80576a78
DeviceHarddisk0DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577e5c
ParseProcedure -> ntkrnlpa.exe @ 0x80576a78
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7183bb0
PacketIndicateHandler -> NDIS.sys @ 0xf7190a21
SendHandler -> NDIS.sys @ 0xf716e87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.

---

DLLs Loaded Under Running Processes

---

— — — — — — — > ‘lsass.exe'(648)
c:windowssystem32imon.dll
c:program filesEsetpr_imon.dll

— — — — — — — > ‘explorer.exe'(3428)
c:windowssystem32browselc.dll
c:windowssystem32WPDShServiceObj.dll
c:windowssystem32PortableDeviceTypes.dll
c:windowssystem32PortableDeviceApi.dll
.

---

Other Running Processes

---

.
c:program filesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
c:windowssystem32wscntfy.exe
c:windowsSOUNDMAN.EXE
c:windowssystem32wbemunsecapp.exe
.
**************************************************************************
.
Completion time: 2010-01-22 12:24:43 — machine was rebooted
ComboFix-quarantined-files.txt 2010-01-22 10:24

Pre-Run: 11 328 516 096 байт свободно
Post-Run: 14 448 291 840 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)WINDOWS
[operating systems]
c:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(1)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
— — End Of File — — 9B28F8A692E58940D8D14EE894AD5748

Что скажете?
Что делать дальше?

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Нужно ещё немного поработать.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

amd64si

Seekeen Service



File::

c:windowssystem32driversamd64si.sys



Folder::

c:documents and settingsAll UsersApplication DataSeekeen

c:program filesSeekeen



MBR::

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Аноним]

Доброй ночи.
Извините за бестолковость-combofix удалила сразу после лечения.
В связи с этим вопрос:можно ли снова установить программу и выполнить предложенные вами действия;нужно ли опять перетаскивать на иконку образ установочного диска?
Заранее благодарна…

[Admin]

Если вы не удаляли вручную Recovery console (автоматически она не удаляется), то вам нужно просто скачать свежую версию программы, сохранить на рабочий стол.
Затем создать скрипт описанный выше и перетащить его на исконку Combofix.

[Автор]

Сообщения