Вылечил Combofixом перезагрузка и опять информер

This topic has 4 ответа, 2 участника, and was last updated 15 years, 9 months назад by Аноним.

Просмотр 5 сообщений - с 1 по 5 (из 5 всего)

Автор

Сообщения
23 января, 2010 в 12:21 пп #17857
Аноним
Гость
- Темы:532
- Сообщений:1553
Здравствуйте вылечил компьютер Combofixом но после перезагрузке порноинформер появляется опять, что нужно сделать ?
Вот мой лог файл :
Заранее всем спасибо !!!
ComboFix 10-01-22.03 — UserGhostXP 23.01.2010 14:54:35.2.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.511.325 [GMT 3:00]
Running from: c:documents and settingsUserGhostXP.SAMLABРабочий столComboFix.exe
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}
.

((((((((((((((((((((((((( Files Created from 2009-12-23 to 2010-01-23 )))))))))))))))))))))))))))))))
.

2010-01-23 06:53 . 2010-01-23 06:53

d

w- c:documents and settingsAll Users.WINDOWSApplication DataXoftSpySE
2010-01-23 06:23 . 2010-01-23 06:54

d

w- c:program filesXoftSpySE
2010-01-23 05:41 . 2010-01-23 05:41

d

w- c:documents and settingsСергей
2010-01-22 09:27 . 2010-01-22 09:27

d

w- c:documents and settingsAll Users.WINDOWSApplication DataDoctor Web
2010-01-22 09:27 . 2010-01-23 11:47

d

w- c:program filesDrWeb
2010-01-22 07:44 . 2010-01-22 09:32

d

w- c:documents and settingsUserGhostXP.SAMLABDoctorWeb
2010-01-21 10:39 . 2010-01-21 10:40 381952 —-a-w- c:program filesplugin.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-22 12:09 . 2008-10-26 14:58

d

w- c:program filesMicrosoft Silverlight
2010-03-22 12:09 . 2008-10-26 15:12

d

w- c:program filesDownload Master
2010-03-22 12:03 . 2008-04-15 12:00 75386 —-a-w- c:windowssystem32perfc019.dat
2010-03-22 12:03 . 2008-04-15 12:00 444008 —-a-w- c:windowssystem32perfh019.dat
2010-03-22 11:59 . 2008-10-25 12:43

d

w- c:program filesTotal Commander
2010-03-22 11:54 . 2008-10-26 15:12

d

w- c:program filesCodebox
2010-01-23 08:39 . 2008-10-26 15:20 63592 —-a-w- c:documents and settingsuserLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-01-23 06:54 . 2008-11-06 12:44 63592 —-a-w- c:documents and settingsUserGhostXP.SAMLABLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-01-23 05:33 . 2003-10-24 18:32

d

w- c:documents and settingsUserGhostXPApplication DataLavasoft
2010-01-22 09:57 . 2008-10-27 06:05

d

w- c:program filesESET
2010-01-13 09:02 . 2008-10-28 08:11 165232 —ha-w- c:documents and settingsUserGhostXP.SAMLABApplication DataMicrosoftVirtual PCVPCKeyboard.dll
2007-11-27 09:55 . 2007-11-27 09:55 2049244 —-a-w- c:program filesqip8040.exe
2009-04-07 05:01 . 2007-11-17 11:01 67688 —-a-w- c:program filesmozilla firefoxcomponentsjar50.dll
2009-04-07 05:01 . 2007-11-17 11:01 54368 —-a-w- c:program filesmozilla firefoxcomponentsjsd3250.dll
2009-04-07 05:01 . 2007-11-17 11:01 34944 —-a-w- c:program filesmozilla firefoxcomponentsmyspell.dll
2009-04-07 05:01 . 2007-11-17 11:01 46712 —-a-w- c:program filesmozilla firefoxcomponentsspellchk.dll
2009-04-07 05:01 . 2007-11-17 11:01 172136 —-a-w- c:program filesmozilla firefoxcomponentsxpinstal.dll
.

Sigcheck

[-] 2008-05-31 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:windowssystem32driverstcpip.sys

[-] 2008-06-17 . AD99493EE6083E7E4506DC5BB1990CF7 . 2181376 . . [5.1.2600.5586] . . c:windowssystem32ntoskrnl.exe

[-] 2008-06-17 . E4DDC132FACF8393D90C545498B7751B . 1571840 . . [5.1.2600.5512] . . c:windowssystem32sfcfiles.dll

[-] 2008-05-31 . CDB13F1E48540E19F4B961E77904F168 . 295936 . . [5.1.2600.5512] . . c:windowssystem32termsrv.dll

[-] 2008-06-17 . 62C7A8997B724D0EEFE26ACB8E5BDB50 . 2058240 . . [5.1.2600.5586] . . c:windowssystem32ntkrnlpa.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-01-23_11.25.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-23 11:59 . 2010-01-23 11:59 53248 c:windowstempcatchme.dll
— 2010-01-23 11:25 . 2010-01-23 11:25 53248 c:windowstempcatchme.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-02-26 5562368]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-02-26 86016]
«plugin»=»c:program filesplugin.exe» [2010-01-21 381952]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableNotifications»= 1 (0x1)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=

S0 sptd;sptd;c:windowssystem32driverssptd.sys [26.10.2008 17:49 717296]

— Other Services/Drivers In Memory —

*Deregistered* — uphcleanhlp
.
.

Supplementary Scan

.
uStart Page = hxxp://www.msn.com
mStart Page = hxxp://www.msn.com
uInternet Settings,ProxyOverride = KOYO;CTR;tokico;kayaba
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Поиск@Mail.Ru — c:program filesmail.rusputnikMailRuSputnik.dll/282
IE: Словари@Mail.Ru — c:program filesmail.rusputnikMailRuSputnik.dll/283
IE: {{8B2D996F-B7D1-4961-A929-414D9CF5BA7B} — http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 14:59
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2010-01-23 15:00:59
ComboFix-quarantined-files.txt 2010-01-23 12:00
ComboFix2.txt 2010-01-23 11:27

Pre-Run: 29 650 673 664 байт свободно
Post-Run: 29 663 432 704 байт свободно

— — End Of File — — F29B996C6DA2B13C2AEAF0251BA2790D
23 января, 2010 в 7:58 пп #28109
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Registry::

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"plugin"=-



File::

c:program filesplugin.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
25 января, 2010 в 5:33 дп #28111
Аноним
Гость
- Темы:532
- Сообщений:1553
Здравствуйте все сделал как вы сказали , вот новый логфайл
ComboFix 10-01-24.03 — UserGhostXP 25.01.2010 8:20.4.1 — x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.511.279 [GMT 3:00]
Running from: c:documents and settingsUserGhostXP.SAMLABРабочий столComboFix111.exe
Command switches used :: c:documents and settingsUserGhostXP.SAMLABРабочий столCFScript.txt
AV: Doctor Web Anti-Virus *On-access scanning enabled* (Updated) {3454C8F1-ECBC-4180-A6F4-04632FBA762B}

FILE ::
«c:program filesplugin.exe»
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:program filesplugin.exe

.
((((((((((((((((((((((((( Files Created from 2009-12-25 to 2010-01-25 )))))))))))))))))))))))))))))))
.

2010-01-23 06:53 . 2010-01-23 06:53

d

w- c:documents and settingsAll Users.WINDOWSApplication DataXoftSpySE
2010-01-23 06:23 . 2010-01-23 06:54

d

w- c:program filesXoftSpySE
2010-01-23 05:41 . 2010-01-23 05:41

d

w- c:documents and settingsСергей
2010-01-22 09:27 . 2010-01-22 09:27

d

w- c:documents and settingsAll Users.WINDOWSApplication DataDoctor Web
2010-01-22 09:27 . 2010-01-23 11:47

d

w- c:program filesDrWeb
2010-01-22 07:44 . 2010-01-22 09:32

d

w- c:documents and settingsUserGhostXP.SAMLABDoctorWeb

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-22 12:09 . 2008-10-26 14:58

d

w- c:program filesMicrosoft Silverlight
2010-03-22 12:09 . 2008-10-26 15:12

d

w- c:program filesDownload Master
2010-03-22 12:03 . 2008-04-15 12:00 75386 —-a-w- c:windowssystem32perfc019.dat
2010-03-22 12:03 . 2008-04-15 12:00 444008 —-a-w- c:windowssystem32perfh019.dat
2010-03-22 11:59 . 2008-10-25 12:43

d

w- c:program filesTotal Commander
2010-03-22 11:54 . 2008-10-26 15:12

d

w- c:program filesCodebox
2010-01-23 08:39 . 2008-10-26 15:20 63592 —-a-w- c:documents and settingsuserLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-01-23 06:54 . 2008-11-06 12:44 63592 —-a-w- c:documents and settingsUserGhostXP.SAMLABLocal SettingsApplication DataGDIPFONTCACHEV1.DAT
2010-01-23 05:33 . 2003-10-24 18:32

d

w- c:documents and settingsUserGhostXPApplication DataLavasoft
2010-01-22 09:57 . 2008-10-27 06:05

d

w- c:program filesESET
2010-01-13 09:02 . 2008-10-28 08:11 165232 —ha-w- c:documents and settingsUserGhostXP.SAMLABApplication DataMicrosoftVirtual PCVPCKeyboard.dll
2007-11-27 09:55 . 2007-11-27 09:55 2049244 —-a-w- c:program filesqip8040.exe
2009-04-07 05:01 . 2007-11-17 11:01 67688 —-a-w- c:program filesmozilla firefoxcomponentsjar50.dll
2009-04-07 05:01 . 2007-11-17 11:01 54368 —-a-w- c:program filesmozilla firefoxcomponentsjsd3250.dll
2009-04-07 05:01 . 2007-11-17 11:01 34944 —-a-w- c:program filesmozilla firefoxcomponentsmyspell.dll
2009-04-07 05:01 . 2007-11-17 11:01 46712 —-a-w- c:program filesmozilla firefoxcomponentsspellchk.dll
2009-04-07 05:01 . 2007-11-17 11:01 172136 —-a-w- c:program filesmozilla firefoxcomponentsxpinstal.dll
.

Sigcheck

[-] 2008-05-31 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:windowssystem32driverstcpip.sys

[-] 2008-06-17 . AD99493EE6083E7E4506DC5BB1990CF7 . 2181376 . . [5.1.2600.5586] . . c:windowssystem32ntoskrnl.exe

[-] 2008-06-17 . E4DDC132FACF8393D90C545498B7751B . 1571840 . . [5.1.2600.5512] . . c:windowssystem32sfcfiles.dll

[-] 2008-05-31 . CDB13F1E48540E19F4B961E77904F168 . 295936 . . [5.1.2600.5512] . . c:windowssystem32termsrv.dll

[-] 2008-06-17 . 62C7A8997B724D0EEFE26ACB8E5BDB50 . 2058240 . . [5.1.2600.5586] . . c:windowssystem32ntkrnlpa.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-01-23_11.25.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-25 05:24 . 2010-01-25 05:24 53248 c:windowstempcatchme.dll
— 2010-01-23 11:25 . 2010-01-23 11:25 53248 c:windowstempcatchme.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«SoundMan»=»SOUNDMAN.EXE» [2007-04-16 577536]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-02-26 5562368]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoThumbnailCache»= 1 (0x1)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«ForceClassicControlPanel»= 1 (0x1)
«NoThumbnailCache»= 1 (0x1)

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrolsession manager]
BootExecute REG_MULTI_SZ

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvCplDaemon]
2006-02-26 15:18 5562368 —-a-w- c:windowssystem32nvcpl.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNvMediaCenter]
2006-02-26 15:18 86016 —-a-w- c:windowssystem32nvmctray.dll

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«FirewallOverride»=dword:00000001
«UpdatesOverride»=dword:00000001
«AntiVirusOverride»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)
«DisableNotifications»= 1 (0x1)
«DisableUnicastResponsesToMulticastBroadcast»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=

S0 sptd;sptd;c:windowssystem32driverssptd.sys [26.10.2008 17:49 717296]

— Other Services/Drivers In Memory —

*Deregistered* — uphcleanhlp
.
.

Supplementary Scan

.
uInternet Settings,ProxyOverride = KOYO;CTR;tokico;kayaba
IE: {{8B2D996F-B7D1-4961-A929-414D9CF5BA7B} — http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-25 08:24
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

DLLs Loaded Under Running Processes

— — — — — — — > ‘winlogon.exe'(636)
c:windowssystem32WLDAP32.dll
.
Completion time: 2010-01-25 08:26:21
ComboFix-quarantined-files.txt 2010-01-25 05:26
ComboFix2.txt 2010-01-25 05:04
ComboFix3.txt 2010-01-23 12:01
ComboFix4.txt 2010-01-23 11:27

Pre-Run: 29 625 757 696 байт свободно
Post-Run: 29 621 329 920 байт свободно

— — End Of File — — 6875CF6267ACA4257680E2E6E5012897
26 января, 2010 в 11:31 дп #28112
Аноним
Гость
- Темы:532
- Сообщений:1553
@Valeri wrote:
Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Registry::

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"plugin"=-



File::

c:program filesplugin.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Valeri Спасибо Вам за помощь у меня все заработало и пока никаких проблем Combofix реально рулит !!!
27 января, 2010 в 6:08 пп #28110
Admin
Keymaster
- Темы:40
- Сообщений:5676
Рад вам помочь 🙂

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

Всего доброго!
Автор

Сообщения