Порнореклама на рабочем столе. Ничего не работает.

This topic has 1 ответ, 2 участника, and was last updated 15 years назад by Admin.

Просмотр 2 сообщений - с 1 по 2 (из 2 всего)

Автор

Сообщения
21 декабря, 2009 в 3:44 дп #17630
Anfea
Participant
- Темы:1
- Сообщений:2
Здравствуйте! Титаническим трудом удалось здесь написать. С порнорекламой проблемы уже были и не раз, но такой хитрой ещё не было. Всплыла поверх рабочего стола, никаких отсчётов секунд нет, браузеры не работают, установка и удаление программ не работает.. Удалось в интерент залезть через браузер для скачки видео. Вот лог при помощи программы CщmboFix. ComboFix 09-12-20.03 — Мария 21.12.2009 6:09.1.2 — x86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1049.18.1023.468 [GMT 3:00]
Running from: c:documents and settingsМарияРабочий столComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsМарияApplication DataDesktopicon
c:documents and settingsМарияApplication DataDesktopiconconfig.ini
c:documents and settingsМарияApplication DataEurekaLog
c:windowsa3kebook.ini
c:windowsakebook.ini
c:windowsANS2000.INI
c:windowssystem32driversnpf.sys
c:windowssystem32Packet.dll
c:windowssystem32pthreadVC.dll
c:windowssystem32wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

Legacy_MSUPDATE

Legacy_NPF

Service_NPF

((((((((((((((((((((((((( Files Created from 2009-11-21 to 2009-12-21 )))))))))))))))))))))))))))))))
.

2009-12-21 02:46 . 2009-12-21 02:47

d

w- c:program files6789
2009-12-21 02:42 . 2009-12-21 02:42

d

w- c:program files12345
2009-12-20 18:47 . 2009-12-20 18:47 47616 —-a-w- C:co3cyfnzpmgl.exe
2009-12-20 18:47 . 2009-12-20 18:47 36864 —-a-w- c:windowssystem32netprotocol.dll
2009-12-20 18:47 . 2009-12-20 18:47 249072 —-a-w- c:program filesplugin.exe
2009-12-13 10:28 . 1999-12-17 07:13 86016 —-a-w- c:windowsunvise32.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-21 03:16 . 2009-11-20 02:51

d

w- c:documents and settingsМарияApplication DataOrbit
2009-12-18 06:35 . 2009-01-13 11:25

d

w- c:program filesLx_cats
2009-12-17 04:58 . 2007-02-23 16:44

d

w- c:program filesDownload Master
2009-12-15 14:58 . 2009-01-09 06:21

d

w- c:program filesOpera
2009-12-10 02:40 . 2001-10-20 11:00 80402 —-a-w- c:windowssystem32perfc019.dat
2009-12-10 02:40 . 2001-10-20 11:00 477598 —-a-w- c:windowssystem32perfh019.dat
2009-12-09 21:11 . 2008-03-14 11:10

d

w- c:documents and settingsAll UsersApplication DataMicrosoft Help
2009-12-08 13:53 . 2009-09-28 07:57

d

w- c:documents and settingsМарияApplication DataPhotoLine
2009-11-20 04:47 . 2009-11-20 04:47

d

w- c:documents and settingsМарияApplication DataImTOO Software Studio
2009-11-20 02:51 . 2009-11-20 02:51

d

w- c:documents and settingsМарияApplication DataGrabPro
2009-11-19 17:05 . 2009-11-19 17:05 640512 —-a-w- c:windowssystem32gfbaksm.dat
2009-11-19 17:05 . 2009-11-19 17:03 640512 —-a-w- c:windowssystem32gfkernel.dll
2009-11-15 19:35 . 2009-11-15 19:35

d

w- c:documents and settingsМарияApplication DataMra
2009-11-15 19:34 . 2009-11-15 19:34

d

w- c:program filesMail.Ru
2009-11-13 07:23 . 2007-02-24 16:53

d

w- c:program filesICQToolbar
2009-11-13 07:08 . 2009-11-13 07:08

d

w- c:documents and settingsМарияApplication DataMalwarebytes
2009-11-13 07:08 . 2009-11-13 07:08

d

w- c:documents and settingsAll UsersApplication DataMalwarebytes
2009-10-30 13:52 . 2009-10-03 05:01

d

w- c:documents and settingsМарияApplication DataFileZilla
2009-10-29 07:45 . 2004-08-17 12:04 832512 —-a-w- c:windowssystem32wininet.dll
2009-10-29 07:45 . 2004-08-17 12:04 78336 —-a-w- c:windowssystem32ieencode.dll
2009-10-29 07:45 . 2004-08-17 12:04 17408

w- c:windowssystem32corpol.dll
2009-10-25 17:11 . 2009-10-25 17:11

d

w- c:documents and settingsМарияApplication DataEltima Software
2009-10-21 06:03 . 2004-08-17 12:04 75776 —-a-w- c:windowssystem32strmfilt.dll
2009-10-21 06:03 . 2004-08-17 12:04 25088 —-a-w- c:windowssystem32httpapi.dll
2009-10-20 14:58 . 2004-08-03 19:00 263552 —-a-w- c:windowssystem32drivershttp.sys
2009-10-14 16:36 . 2009-10-14 16:36 152576 —-a-w- c:documents and settingsМарияApplication DataSunJavajre1.6.0_15lzma.dll
2009-10-13 10:53 . 2004-08-17 12:04 267264 —-a-w- c:windowssystem32oakley.dll
2009-10-12 13:54 . 2004-08-17 12:04 69632 —-a-w- c:windowssystem32raschap.dll
2009-10-12 13:54 . 2004-08-17 12:04 112640 —-a-w- c:windowssystem32rastls.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 —-a-w- c:program filesmozilla firefoxpluginslibdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 —-a-w- c:program filesmozilla firefoxpluginsssldivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 —-a-w- c:program filesoperaprogrampluginslibdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 —-a-w- c:program filesoperaprogrampluginsssldivx.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2009-04-15 3699488]

[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Download Master»=»c:program filesDownload Masterdmaster.exe» [2009-11-06 3778048]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2006-08-11 7630848]
«nwiz»=»nwiz.exe» [2006-08-11 1519616]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2006-08-11 86016]
«Ярлык для страницы свойств High Definition Audio»=»HDAudPropShortcut.exe» [2004-03-17 61952]
«WheelMouse»=»c:program filesA4TechMouseAmoumain.exe» [2008-12-29 188416]
«avgnt»=»c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe» [2008-06-12 266497]
«EzPrint»=»c:program filesLexmark 4300 Seriesezprint.exe» [2005-07-26 94208]
«SunJavaUpdateSched»=»c:program filesJavajre6binjusched.exe» [2009-07-25 149280]
«Malwarebytes Anti-Malware (reboot)»=»d:malwarebytes’ anti-malwarembam.exe» [2009-09-10 1312080]
«MAgent»=»d:mail.ruAgentMAgent.exe» [2009-11-15 7975608]
«plugin»=»c:program filesplugin.exe» [2009-12-20 249072]
«LXCECATS»=»c:windowsSystem32spoolDRIVERSW32X863LXCEtime.dll» [2005-07-20 73728]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2004-08-17 15360]

c:documents and settingsЊ аЁпѓ« ў®Ґ ¬ҐоЏа®Ја ¬¬лЂўв®§ Јаг§Є
‚лаҐ§Є нЄа Ё Їа®Ја ¬¬ § ЇгбЄ ¤«п OneNote 2007.lnk — c:program filesMicrosoft OfficeOffice12ONENOTEM.EXE [2007-12-7 101440]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«DisableCurrentUserRun»= 0 (0x0)
«DisableCurrentUserRunOnce»= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«MaxRecentDocs»= 1 (0x1)
«NoCommonGroups»= 0 (0x0)
«NoSimpleStartMenu»= 0 (0x0)

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«MaxRecentDocs»= 1 (0x1)
«NoCommonGroups»= 0 (0x0)
«NoSimpleStartMenu»= 0 (0x0)

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalaawservice]
@=»Service»

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalWdf01000.sys]
@=»Driver»

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregGrooveMonitor]
2006-10-26 21:47 31016 —-a-w- c:program filesMicrosoft OfficeOffice12GrooveMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregIndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-12-13 16:10 1688872 —-a-w- c:program filesCommon FilesNeroLibNMIndexStoreSvr.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNBKeyScan]
2007-12-03 11:21 2213160 —-a-w- c:program filesNeroNero8Nero BackItUpNBKeyScan.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
2007-03-01 11:57 153136 —-a-w- c:program filesCommon FilesNeroLibNeroCheck.exe

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«c:\Program Files\Microsoft Office\Office12\GROOVE.EXE»=
«c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=
«c:\WINDOWS\system32\dpvsetup.exe»=
«c:\Program Files\Opera\opera.exe»=
«c:\Program Files\Nokia\Nokia Software Updater\nsu_ui_client.exe»=
«c:\Program Files\Common Files\Nokia\Service Layer\A\nsl_host_process.exe»=
«c:\Program Files\ICQ6.5\ICQ.exe»=
«d:\Mail.Ru\Agent\magent.exe»=
«d:\Orbitdownloader\orbitdm.exe»=
«d:\Orbitdownloader\orbitnet.exe»=
«c:\Program Files\12345\12345.exe»=

R2 ABBYY.Licensing.FineReader.Corporate.9.0;ABBYY FineReader 9.0 CE Licensing Service;c:program filesCommon FilesABBYYFineReader9.00LicensingCENetworkLicenseServer.exe [27.10.2008 17:03 759072]
R2 ABBYY.Licensing.FineReader.ScreenshotReader.9.0;ABBYY.Licensing.FineReader.ScreenshotReader.9.0;d:abbyy readerNetworkLicenseServer.exe [27.10.2008 17:03 759072]
R2 ICQ Service;ICQ Service;c:program filesICQ6ToolbarICQ Service.exe [01.10.2009 16:55 222968]
R2 Netprotocol;Network Protocol Driver;c:windowssystem32svchost.exe -k DComLaunch [17.08.2004 15:05 14336]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:windowssystem32driversAmps2prt.sys [10.02.2007 2:04 14336]
R3 cmudax;C-Media High Definition Audio Interface;c:windowssystem32driverscmudax.sys [23.02.2007 20:53 1275584]
S3 genmcmnUSB;USB Scroll Mouse Driver;c:windowssystem32DRIVERSgflmouhid.sys —> c:windowssystem32DRIVERSgflmouhid.sys [?]
S3 SBDriver;SBDriver;c:windowssystem32suhenter.sys [09.03.2009 15:47 11776]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionsvchost]
DcomLaunch REG_MULTI_SZ DcomLaunch TermService Netprotocol
.

Supplementary Scan

.
uStart Page = hxxp://www.yandex.ru/?clid=47976
IE: &Download by Orbit — d:orbitdownloaderorbitmxt.dll/201
IE: &Grab video by Orbit — d:orbitdownloaderorbitmxt.dll/204
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2Office12EXCEL.EXE/3000
IE: Do&wnload selected by Orbit — d:orbitdownloaderorbitmxt.dll/203
IE: Down&load all by Orbit — d:orbitdownloaderorbitmxt.dll/202
IE: Закачать ВСЕ при помощи Download Master — c:program filesDownload Masterdmieall.htm
IE: Закачать при помощи Download Master — c:program filesDownload Masterdmie.htm
IE: Передать на удаленную закачку DM — c:program filesDownload Masterremdown.htm
IE: {{7558B7E5-7B26-4201-BEDB-00D5FF534523} — d:mail.ruAgentmagent.exe
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} — c:program filesDownload Masterdmaster.exe
FF — ProfilePath — c:documents and settingsМарияApplication DataMozillaFirefoxProfiles9vf96daw.default
FF — prefs.js: browser.search.selectedEngine — ICQ Search
FF — prefs.js: browser.startup.homepage — hxxp://www.yandex.ru/?clid=47976
FF — prefs.js: keyword.URL — hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF — component: d:orbitdownloaderaddonsOneClickYouTubeDownloadercomponentsGrabXpcom.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF — plugin: c:program filesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
FF — plugin: c:program filesOperaprogrampluginsnpdivx32.dll
FF — plugin: c:program filesOperaprogrampluginsnpdm.dll
FF — plugin: c:program filesOperaprogrampluginsnporbit.dll
FF — plugin: c:program filesOperaprogrampluginsnppl3260.dll
FF — plugin: c:program filesOperaprogrampluginsnprpjplug.dll
FF — HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} — c:windowsMicrosoft.NETFrameworkv3.5Windows Presentation FoundationDotNetAssistantExtension
.
— — — — ORPHANS REMOVED — — — —

HKCU-Run-AdobeBridge — (no file)
HKCU-Run-FreeCall — c:program filesfreecall.comfreecallfreecall.exe
HKCU-Run-ABBYY Screenshot Reader Retail — (no file)
HKLM-Run-Cmaudio — cmicnfg.cpl
MSConfigStartUp-mouseElf — c:progra~1TWINTO~1MouseElf.EXE
MSConfigStartUp-Yupdate! — c:program filesCommon FilesYandexYupdateyupdate.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-21 06:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
LXCECATS = rundll32 c:windowsSystem32spoolDRIVERSW32X863LXCEtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

Other Running Processes

.
c:program filesLavasoftAd-Awareaawservice.exe
c:program filesAviraAntiVir PersonalEdition Classicsched.exe
c:windowssystem32RunDll32.exe
c:program filesAviraAntiVir PersonalEdition Classicavguard.exe
c:program filesJavajre6binjqs.exe
c:program filesNeroNero8Nero BackItUpNBService.exe
c:windowssystem32nvsvc32.exe
d:compupicproScsiAccess.exe
c:windowssystem32lxcecoms.exe
c:program filesAviraAntiVir PersonalEdition ClassicGUARDGUI.EXE
.
**************************************************************************
.
Completion time: 2009-12-21 06:23:14 — machine was rebooted
ComboFix-quarantined-files.txt 2009-12-21 03:23

Pre-Run: 2 843 111 424 байт свободно
Post-Run: 5 784 981 504 байт свободно

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)WINDOWS
[operating systems]
d:cmdconsBOOTSECT.DAT=»Microsoft Windows Recovery Console» /cmdcons
multi(0)disk(0)rdisk(0)partition(2)WINDOWS=»Microsoft Windows XP Professional RU» /noexecute=optin /fastdetect

— — End Of File — — CF6435824E58363A623AE91160B5A9E0 Помогите пожалуйста!!! Очень нужен компьютер для работы!!!
24 декабря, 2009 в 7:23 пп #27539
Admin
Keymaster
- Темы:40
- Сообщений:5676
Здравствуйте, добро пожаловать на Spyware-ru форум.

Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
```
Registry::

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"plugin"=-



Folder::

c:program files6789

c:program files12345



File::

C:co3cyfnzpmgl.exe

c:windowssystem32netprotocol.dll

c:program filesplugin.exe
```
Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.
Автор

Сообщения