• Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы

SPYWARE-RU.COM
Меню
  • Инструкции
    • Как использовать
      • Программы
    • Как удалить
      • Шпионское и рекламное ПО (adware и spyware)
      • Поддельное антиспайваре
      • Руткиты
      • Трояны
      • Кейлоггеры
  • Скачать программы
  • Вопросы и Ответы
  • Форумы
В начало › КОМП СТАЛ ОЧENЬ МEДЛENNO РАБОТАТЬ.
Adguard
 

КОМП СТАЛ ОЧENЬ МEДЛENNO РАБОТАТЬ.

Удаление вирусов и троянов. Защита компьютера. › Помощь в удалении вирусов, троянов, рекламы и других зловредов › КОМП СТАЛ ОЧENЬ МEДЛENNO РАБОТАТЬ.

  • This topic has 27 ответов, 2 участника, and was last updated 15 years, 7 months назад by Admin.
Просмотр 13 сообщений - с 16 по 28 (из 28 всего)
← 1 2
  • Автор
    Сообщения
  • 31 марта, 2009 в 8:50 дп #22624
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Пришлите ещё свежий GMER лог.

    31 марта, 2009 в 9:24 дп #22625
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    GMER 1.0.15.14944 — http://www.gmer.net
    Rootkit scan 2009-03-31 17:19:04
    Windows 5.1.2600 Service Pack 3

    —- System — GMER 1.0.15 —-

    SSDT spah.sys ZwCreateKey [0xF730A0E0]
    SSDT spah.sys ZwEnumerateKey [0xF7327CA2]
    SSDT spah.sys ZwEnumerateValueKey [0xF7328030]
    SSDT spah.sys ZwOpenKey [0xF730A0C0]
    SSDT spah.sys ZwQueryKey [0xF7328108]
    SSDT spah.sys ZwQueryValueKey [0xF7327F88]
    SSDT spah.sys ZwSetValueKey [0xF732819A]

    INT 0x62 ? 86D68BF8
    INT 0x82 ? 86D68BF8
    INT 0xB4 ? 869A3F00
    INT 0xB4 ? 869A3F00

    —- Kernel code sections — GMER 1.0.15 —-

    ? spah.sys Íå óäàåòñÿ íàéòè óêàçàííûé ôàéë. !
    .text USBPORT.SYS!DllUnload F65F08AC 5 Bytes JMP 869A34E0
    .text ahn6uhib.SYS F64FF384 1 Byte [20]
    .text ahn6uhib.SYS F64FF384 37 Bytes [20, 00, 00, 68, 00, 00, 00, …]
    .text ahn6uhib.SYS F64FF3AA 24 Bytes [00, 00, 20, 00, 00, E0, 00, …]
    .text ahn6uhib.SYS F64FF3C4 3 Bytes [00, 00, 00]
    .text ahn6uhib.SYS F64FF3C9 1 Byte [00]
    .text …

    —- Kernel IAT/EAT — GMER 1.0.15 —-

    IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F730B040] spah.sys
    IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F730B13C] spah.sys
    IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F730B0BE] spah.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F730B7FC] spah.sys
    IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F730B6D2] spah.sys
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KfAcquireSpinLock] 00000034
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!READ_PORT_UCHAR] 0000008E
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KeGetCurrentIrql] 00000043
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KfRaiseIrql] 00000044
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KfLowerIrql] 000000C4
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!HalGetInterruptVector] 000000DE
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!HalTranslateBusAddress] 000000E9
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KeStallExecutionProcessor] 000000CB
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!KfReleaseSpinLock] 00000054
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 0000007B
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!READ_PORT_USHORT] 00000094
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 00000032
    IAT SystemRootSystem32Driversahn6uhib.SYS[HAL.dll!WRITE_PORT_UCHAR] 000000A6
    IAT SystemRootSystem32Driversahn6uhib.SYS[WMILIB.SYS!WmiSystemControl] 00000023
    IAT SystemRootSystem32Driversahn6uhib.SYS[WMILIB.SYS!WmiCompleteRequest] 0000003D

    —- Devices — GMER 1.0.15 —-

    Device FileSystemFastfat FatCdrom 86D671F8
    Device Driverusbuhci DeviceUSBPDO-0 86A76500
    Device Driverdmio DeviceDmControlDmIoDaemon 86DD91F8
    Device Driverdmio DeviceDmControlDmConfig 86DD91F8
    Device Driverdmio DeviceDmControlDmPnP 86DD91F8
    Device Driverdmio DeviceDmControlDmInfo 86DD91F8
    Device Driverusbehci DeviceUSBPDO-1 86B141F8
    Device DriverFtdisk DeviceHarddiskVolume1 86D691F8
    Device DriverFtdisk DeviceHarddiskVolume2 86D691F8
    Device DriverCdrom DeviceCdRom0 86A561F8
    Device DriverFtdisk DeviceHarddiskVolume3 86D691F8
    Device DriverCdrom DeviceCdRom1 86A561F8
    Device DriverNetBT DeviceNetBT_Tcpip_{11BD6EB6-C0DE-41CD-8455-DEE482CA4083} 86914500
    Device DriverNetBT DeviceNetBt_Wins_Export 86914500
    Device Driversptd Device3905048580 spah.sys
    Device DriverNetBT DeviceNetbiosSmb 86914500
    Device DriverPCI_PNP3580 Device000004f spah.sys
    Device Driverusbuhci DeviceUSBFDO-0 86A76500
    Device Driverusbehci DeviceUSBFDO-1 86B141F8
    Device FileSystemMRxSmb DeviceLanmanDatagramReceiver 86978500
    Device FileSystemMRxSmb DeviceLanmanRedirector 86978500
    Device DriverNetBT DeviceNetBT_Tcpip_{8CF33562-65EC-43D1-9720-278EE0D512A5} 86914500
    Device DriverFtdisk DeviceFtControl 86D691F8
    Device Driverahn6uhib DeviceScsiahn6uhib1Port2Path0Target0Lun0 86904500
    Device Driverahn6uhib DeviceScsiahn6uhib1 86904500
    Device FileSystemFastfat Fat 86D671F8
    Device FileSystemCdfs Cdfs 868F8500

    —- Registry — GMER 1.0.15 —-

    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (L002TP) 1?
    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (PPTP) 1?
    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (PPPoE) 1?
    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@374@4O4494 ?0404@0404;4;0454;4L4=4K494 ?4>4@4B4 1?
    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (IP) 1?
    Reg HKLMSYSTEMCurrentControlSetControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 ?4;0404=484@4>0424I484:0404 ?0404:0454B4>0424 1?2?3?
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfg@s1 771343423
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfg@s2 285507792
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfg@h0 1
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D04
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D04@p0 D:Alcohol 120% 1.9.7.6022Alcohol 120
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D04@h0 0
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D04@ujdew 0x95 0xD7 0x59 0x93 …
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D040000001
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D040000001@a0 0x20 0x01 0x00 0x00 …
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D040000001@ujdew 0xCE 0xA4 0x35 0xAE …
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40
    Reg HKLMSYSTEMCurrentControlSetServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40@ujdew 0xF7 0x2F 0xE0 0xF0 …
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D04
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D04@p0 D:Alcohol 120% 1.9.7.6022Alcohol 120
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D04@h0 0
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D04@ujdew 0x95 0xD7 0x59 0x93 …
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D040000001
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D040000001@a0 0x20 0x01 0x00 0x00 …
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D040000001@ujdew 0xCE 0xA4 0x35 0xAE …
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40
    Reg HKLMSYSTEMControlSet002ServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40@ujdew 0xF7 0x2F 0xE0 0xF0 …
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (L002TP) 1?
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (PPTP) 1?
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (PPPoE) 1?
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@374@4O4494 ?0404@0404;4;0454;4L4=4K494 ?4>4@4B4 1?
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 WAN (IP) 1?
    Reg HKLMSYSTEMControlSet003ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions@34484=484?4>4@4B4 ?4;0404=484@4>0424I484:0404 ?0404:0454B4>0424 1?2?3?
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D04
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D04@p0 D:Alcohol 120% 1.9.7.6022Alcohol 120
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D04@h0 0
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D04@ujdew 0x95 0xD7 0x59 0x93 …
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D040000001
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D040000001@a0 0x20 0x01 0x00 0x00 …
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D040000001@ujdew 0xCE 0xA4 0x35 0xAE …
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40
    Reg HKLMSYSTEMControlSet003ServicessptdCfgD79C293C1ED61418462E24595C90D040000001jdgg40@ujdew 0xF7 0x2F 0xE0 0xF0 …
    Reg HKCUSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}
    Reg HKCUSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}@japeajgiohefniblbipd 0x6B 0x61 0x64 0x67 …
    Reg HKCUSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}@iafaghhpjphbpdcief 0x6B 0x61 0x64 0x67 …

    —- Disk sectors — GMER 1.0.15 —-

    Disk DeviceHarddisk0DR0 sector 62: copy of MBR

    —- EOF — GMER 1.0.15 —-

    2 апреля, 2009 в 2:58 пп #22626
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Скачайте программу mbr кликнув по этой ссылке и сохраните её на ваш рабочий стол.
    Отключите Интернет и все антивирусы.

    Кликните Пуск, Выполнить.
    Введите:

    "%userprofile%desktopmbr.exe" >"%userprofile%desktopmbr_check.txt"

    Нажмите Enter.
    На рабочем столе должен появится текстовой файл mbr_check.

    Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

    reglock::
    
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}]
    

    
Registry::
    
[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}]

    Запишите получившийся файл на ваш рабочий стол под именем CFScript.
    Далее перетащите получившийся файл на иконку Combofix. Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.По результатам работы Combofix будет создан новый лог.

    Жду от вас:
    — содержимое файла mbr_check
    — Combofix лог
    — свежий GMER лог.

    2 апреля, 2009 в 11:28 пп #22627
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    ComboFix 09-04-01.01 — 123 2009-04-03 7:24:24.7 — FAT32x86
    Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1015.600 [GMT 4:00]
    Running from: c:documents and settings123Рабочий столComboFix.exe
    Command switches used :: c:documents and settings123Рабочий столCFScript..txt
    AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
    * Created a new restore point

    WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
    .

    ((((((((((((((((((((((((( Files Created from 2009-03-03 to 2009-04-03 )))))))))))))))))))))))))))))))
    .

    2009-04-02 17:19 . 2009-04-02 17:19 d—h

    C:$AVG8.VAULT$
    2009-04-02 16:53 . 2009-04-02 16:53 d—s—- c:documents and settings123UserData
    2009-04-02 16:46 . 2009-04-02 16:46 d

    c:windowssystem32driversAvg
    2009-04-02 16:46 . 2009-04-02 16:46 d

    c:program filesAVG
    2009-04-02 16:46 . 2009-04-02 16:46 d

    c:documents and settingsAll UsersApplication Dataavg8
    2009-04-02 16:46 . 2009-04-02 16:46 d

    c:documents and settings123Application DataAVGTOOLBAR
    2009-04-02 16:46 . 2009-04-02 16:46 325,640 —a

    c:windowssystem32driversavgldx86.sys
    2009-04-02 16:46 . 2009-04-02 16:46 107,912 —a

    c:windowssystem32driversavgtdix.sys
    2009-04-02 16:46 . 2009-04-02 16:46 10,520 —a

    c:windowssystem32avgrsstx.dll
    2009-04-01 00:40 . 2009-04-01 00:40 d

    c:documents and settings123Application DataMail.Ru
    2009-03-30 18:14 . 2009-03-30 18:14 d

    c:program filesMSECache
    2009-03-27 16:30 . 2009-03-27 16:30 d

    c:program filesDownload Master
    2009-03-24 23:17 . 2009-03-24 23:17 d

    c:documents and settingsAll UsersApplication DataAvira
    2009-03-24 20:40 . 2009-03-24 20:44 4,496,273 —a

    c:program filesazan.exe
    2009-03-24 14:02 . 2009-03-24 14:02 d

    c:windowssystem32ru-ru
    2009-03-24 14:02 . 2009-03-24 14:02 d

    c:windowssystem32ru
    2009-03-24 14:02 . 2009-03-24 14:02 d

    c:windowssystem32bits
    2009-03-24 14:02 . 2009-03-24 14:02 d

    c:windowsl2schemas
    2009-03-24 13:59 . 2009-03-24 13:59 d

    c:windowsServicePackFiles
    2009-03-23 20:03 . 2009-03-23 20:03 d

    c:program filesYandex
    2009-03-23 20:03 . 2009-03-23 20:03 d

    c:documents and settings123Application DataYandex
    2009-03-23 03:00 . 2009-03-23 03:00 d

    c:program filesMSXML 4.0
    2009-03-22 20:01 . 2008-10-16 14:08 27,672 —a

    c:windowssystem32wuapi.dll.mui
    2009-03-21 23:07 . 2009-03-21 23:07 d

    c:documents and settingsAll UsersApplication DataESET
    2009-03-19 01:24 . 2009-03-19 01:25 4,114 —a

    c:windowssystem32secushr.dat
    2009-03-19 01:24 . 2009-03-19 01:24 248 —a

    c:windowssystem32secustat.dat
    2009-03-19 01:23 . 2009-03-19 01:23 d

    c:documents and settings123Application DataFlashgetSetup
    2009-03-19 01:18 . 2009-03-19 01:18 d

    c:documents and settings123Application DataMedia Player Classic

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-28 14:26 737,280 —-a-w c:windowsiun6002.exe
    2009-03-23 16:17 2,516 —sha-w c:windowssystem32KGyGaAvL.sys
    2009-02-11 06:19 38,496 —-a-w c:windowssystem32driversmbamswissarmy.sys
    2009-02-11 06:19 15,504 —-a-w c:windowssystem32driversmbam.sys
    2009-02-09 13:07 1,846,912 —-a-w c:windowssystem32win32k.sys
    2009-02-09 13:07 1,846,912

    w c:windowssystem32dllcachewin32k.sys
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerURLSearchHooks]
    «{ecdee021-0d17-467f-a1ff-c7a115230949}»= «c:program filesfree-downloads.nettbfree.dll» [2007-12-10 1510424]

    [HKEY_CLASSES_ROOTclsid{ecdee021-0d17-467f-a1ff-c7a115230949}]

    [HKEY_LOCAL_MACHINE~Browser Helper Objects{ecdee021-0d17-467f-a1ff-c7a115230949}]
    2007-12-10 13:46 1510424 —a

    c:program filesfree-downloads.nettbfree.dll

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
    «{ecdee021-0d17-467f-a1ff-c7a115230949}»= «c:program filesfree-downloads.nettbfree.dll» [2007-12-10 1510424]

    [HKEY_CLASSES_ROOTclsid{ecdee021-0d17-467f-a1ff-c7a115230949}]

    [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
    «{ECDEE021-0D17-467F-A1FF-C7A115230949}»= «c:program filesfree-downloads.nettbfree.dll» [2007-12-10 1510424]

    [HKEY_CLASSES_ROOTclsid{ecdee021-0d17-467f-a1ff-c7a115230949}]

    [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2008-04-14 15360]
    «AlcoholAutomount»=»d:alcohol 120% 1.9.7.6022Alcohol 120axcmd.exe» [2007-12-22 222080]

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
    «IgfxTray»=»c:windowssystem32igfxtray.exe» [2007-09-18 141848]
    «HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2007-09-18 166424]
    «Persistence»=»c:windowssystem32igfxpers.exe» [2007-09-18 137752]
    «V0330Mon.exe»=»c:windowsV0330Mon.exe» [2007-04-30 32768]
    «ISUSPM Startup»=»c:program filesCommon FilesInstallShieldUpdateServiceisuspm.exe» [2005-08-11 249856]
    «ISUSScheduler»=»c:program filesCommon FilesInstallShieldUpdateServiceissch.exe» [2005-08-11 81920]
    «MAgent»=»c:program filesMail.RuAgentMAgent.exe» [2009-01-13 5598392]
    «Athan»=»c:program filesAthanAthan.exe» [2005-10-09 954368]
    «AVG8_TRAY»=»c:progra~1AVGAVG8avgtray.exe» [2009-04-02 1932568]

    [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
    «CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2008-04-14 15360]

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwinlogonnotifyavgrsstarter]
    2009-04-02 16:46 10520 c:windowssystem32avgrsstx.dll

    [HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAdobe Reader Speed Launcher]
    —a

    2008-06-12 02:38 34672 c:program filesAdobeReader 9.0Readerreader_sl.exe

    [HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
    «%windir%\system32\sessmgr.exe»=
    «c:\Program Files\Messenger\msmsgs.exe»=
    «d:\uTorrent.exe»=
    «c:\Program Files\Windows Live\Messenger\msnmsgr.exe»=
    «c:\Program Files\Windows Live\Messenger\livecall.exe»=
    «%windir%\Network Diagnostic\xpnetdiag.exe»=
    «d:\SKYPE\Phone\Skype.exe»=
    «d:\ICQ6.5\ICQ.exe»=
    «$INSTDIR\FlvDetector.exe»= c:\Program Files\FlashGet Network\FlashGet 3\FlvDetector.exe
    «c:\Program Files\AVG\AVG8\avgupd.exe»=
    «c:\Program Files\AVG\AVG8\avgnsx.exe»=

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:windowssystem32driversavgldx86.sys [2009-04-02 325640]
    R1 AvgTdiX;AVG Free8 Network Redirector;c:windowssystem32driversavgtdix.sys [2009-04-02 107912]
    R2 avg8wd;AVG Free8 WatchDog;c:progra~1AVGAVG8avgwdsvc.exe [2009-04-02 298264]
    R3 V0330VID;WebCam Vista/Live! Cam Chat;c:windowssystem32driversV0330Vid.sys [2008-10-15 157696]
    S2 ccosm;Contrl Center of Storm Media;c:program filesStormIIstormliv.exe /asservice —> c:program filesStormIIstormliv.exe [?]

    — Other Services/Drivers In Memory —

    *NewlyCreated* — MBR
    *Deregistered* — mbr
    .
    .

    Supplementary Scan

    .
    uStart Page = hxxp://www.google.ru/ig?hl=ru
    mStart Page = hxxp://www.yahoo.com/
    mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
    uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
    IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
    IE: Добавить в Rambler-Закладки — d:rambler assistantramblertoolbarU5950.dll/zakladki.htm
    IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
    IE: Закачать все при помощи FlashGet — c:program filesFlashGetjc_all.htm
    IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
    IE: Закачать при помощи FlashGet — c:program filesFlashGetjc_link.htm
    IE: Найти с помощью Рамблера — d:rambler assistantramblertoolbarU5950.dll/search.htm
    IE: Опубликовать в Дневнике — d:rambler assistantramblertoolbarU5950.dll/planet.htm
    IE: Перевести с помощью словарей Рамблера — d:rambler assistantramblertoolbarU5950.dll/dic.htm
    IE: Поиск@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/282
    IE: Словари@Mail.Ru — c:program filesMail.RuSputnikMailRuSputnik.dll/283
    IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — c:program filesMail.RuAgentmagent.exe
    IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
    FF — ProfilePath — c:documents and settings123Application DataMozillaFirefoxProfileslb4yf04o.default
    FF — prefs.js: browser.search.defaulturl — hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
    FF — prefs.js: browser.search.selectedEngine — Википедия (ru)
    FF — prefs.js: browser.startup.homepage — hxxp://www.yahoo.com/
    FF — prefs.js: keyword.URL — hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-msgr&p=
    FF — component: c:program filesMozilla Firefoxextensions{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A}componentsFlashgetXpi.dll
    FF — plugin: d:real alternativebrowserpluginsnppl3260.dll
    FF — plugin: d:real alternativebrowserpluginsnprpjplug.dll
    .

    **************************************************************************

    catchme 0.3.1375 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-03 07:25:25
    Windows 5.1.2600 Service Pack 3 FAT NTAPI

    scanning hidden processes …

    scanning hidden autostart entries …

    scanning hidden files …

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2009-04-03 7:26:07
    ComboFix2.txt 2009-03-29 20:05:04
    ComboFix-quarantined-files.txt 2009-04-03 03:26:06

    Pre-Run: 5 925 978 112 байт свободно
    Post-Run: 6,020,988,928 байт свободно

    149 — E O F — 2009-03-31 18:56:42

    2 апреля, 2009 в 11:37 пп #22628
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    GMER LOQ

    4 апреля, 2009 в 5:06 пп #22629
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Ещё пришлите содержимое файла mbr_check.

    4 апреля, 2009 в 6:50 пп #22630
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    НЕ ЗНАЮ ЭТО ЛИ ВЫ ХОТИТЕ ОТ МЕНЯ?

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 62 !

    8 апреля, 2009 в 12:43 дп #22631
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.

    Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

    reglock::
    
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}]

    Запишите получившийся файл на ваш рабочий стол под именем CFScript
    Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

    Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
    По результатам работы Combofix будет создан новый лог, сохраните его на рабочий стол.

    Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:

    Registry keys to delete:
    
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}

    Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
    Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
    По-окончании работы будет показан лог.

    Жду от вас:
    — Combofix лог
    — Avenger лог
    — свежий GMER лог (запускайте программу после Avenger)
    — второй RSIT лог (info.txt), находится в папке C:RSIT

    8 апреля, 2009 в 6:04 дп #22632
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    COMBOFIX LOQ Окозалось слишком большим

    8 апреля, 2009 в 6:10 дп #22633
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    //////////////////////////////////////////
    Avenger Pre-Processor log
    //////////////////////////////////////////

    Platform: Windows XP (build 2600, Service Pack 3)
    Wed Apr 08 14:06:55 2009

    14:06:47: Error: Invalid registry syntax in command:
    «HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}»
    Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
    Skipping line. (Registry key deletion mode)

    //////////////////////////////////////////

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Completed script processing.

    *******************

    Finished! Terminate.

    8 апреля, 2009 в 6:15 дп #22634
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    gmer loq

    8 апреля, 2009 в 6:18 дп #22635
    QERIBAN
    Participant
    • Темы:6
    • Сообщений:39
    • ☆

    второй RSIT лог

    10 апреля, 2009 в 2:59 пп #22636
    Admin
    Keymaster
    • Темы:40
    • Сообщений:5676
    • ☆☆☆☆☆

    Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

    RegNull::
    
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}]
    

    
Registry::
    
[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsApproved{A6C514F6-D7D8-F038-464A-0AAE17B106DE}]
    

    
Driver::
    
ccosm

    Запишите получившийся файл на ваш рабочий стол под именем CFScript
    Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

    Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
    По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ. И ещё приложите свежий GMER лог, только запускайте GMER после Combofix.

  • Автор
    Сообщения
Просмотр 13 сообщений - с 16 по 28 (из 28 всего)
← 1 2
  • Для ответа в этой теме необходимо авторизоваться.
Войти

Добро пожаловать

На нашем сайте размещены инструкции и программы, которые помогут вам абсолютно бесплатно и самостоятельно удалить навязчивую рекламу, вирусы и трояны.

Поиск

Последние темы

  • Странность в Malwebytes опубликовано Artem225
    5 years назад
  • SUSPICIOUS.FakedMBR.1 что делать, помогите!!! опубликовано White
    5 years, 1 month назад
  • Помогите пожалуйста вирус замучил. опубликовано dimazons1233211
    5 years, 3 months назад
  • Замучила реклама опубликовано Данила Беспятов
    5 years, 4 months назад
  • Замучила реклама опубликовано Марк
    5 years, 1 month назад
  • Вирус S1.video.ru.net опубликовано ludovik
    5 years, 6 months назад
  • Чертов Safe Finder!!!! опубликовано kosta savo
    5 years, 3 months назад
  • ESET блокирует неизвестный сайт , вход на который не осуществлялся. опубликовано trollhamaren
    5 years, 7 months назад

СПАЙВАРЕ РУ

  • О Спайваре Ру
  • Контакты
  • Реклама на сайте
  • Политика конфиденциальности
  • Правила использования

Нужна помощь?

Задайте свой вопрос прямо сейчас кликнув по следующей ссылке Задать вопрос.

Или обратитесь на наш форум, где команда Spyware-ru поможет вам. Узнайте, как попросить о помощи здесь.

Ссылки

  • Инструкции
  • Скачать программы
  • Помощь в удалении вирусов
  • Как вылечить компьютер
Copyright © 2008 - 2024 Spyware-RU.com (en)