Реклама на страницах сайта

[mike 1]

 

Running from: c:\documents and settings\Ogm2.MASHBREST\¦рсюўшщ ёЄюы\ComboFix.exe

Command switches used :: c:\documents and settings\Ogm2.MASHBREST\¦рсюўшщ ёЄюы\CFScript.txt

 

Просили кажется Combofix и файл со скриптом сохранить на диск С! 

[Vob]

Повторно сделал:

 

http://rghost.ru/private/8SZVhNpxw/34c008a7956d113b7b8b85dcaef31d20 - ComboFix.txt

Изменено 17 февраля, 2015 пользователем Vob

[mike 1]

Ну вот, опять где-то Kido поймали. Обновления все ставили на Windows XP? 

 

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::
 
File::
c:\windows\system32\gkwcm.dll
 
Driver::
txqmdk
tyogd
 
NetSvc::
tyogd
txqmdk
 
Folder::
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\txqmdk]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tyogd]

FileLook::
 
DirLook::
 
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Vob]

http://rghost.ru/private/7sSMwKRL4/5f05b3ce511c7679fc65e21770b0f4e5 - ComboFix.txt

Обновления стоят, а если кидо был удален, то почему не могу до сих пор запустить KAV15 - уже несколько раз ее переустанавливал, а она не хочет запускаться. Значит кидо до сих пор не удален, да и на антивирусные сайты не могу зайти и на ваш форум - захожу только через анонимайзер. Теоретически может и удален кидо, а на практике он хорошо устроился на компьютере и никакие скрипты и программы по удалению его ему не страшны. Может я не прав, может надо немножко терпения, чтобы удалить эту гадость с компьютера и решить проблему с рекламой.

Этот компьютер на работе и все компьютеры находится в локальной сети.

Изменено 18 февраля, 2015 пользователем Vob

[Roman_Five]

запустите 2 копии утилиты KidoKiller  на компьютере:
1- просто в проводнике
2- с ключом -m (для мониторинга)
проще это сделать через пуск - выполнить

C:\kidokiller.exe -m

не закрывая вторую копию - ставьте антивирус.

отпишитесь о результате.

 

 

Теоретически может и удален кидо, а на практике он хорошо устроился на компьютере

ответьте на вопрос:

 

 

Обновления все ставили на Windows XP? 

[Vob]

"не закрывая вторую копию - ставьте антивирус."

 

Не запускается - даже скриншот сделал:

 

http://savepic.su/5102531.jpg

 

"ответьте на вопрос:

Обновления все ставили на Windows XP?"

 

Страница 2:

"Наконец-то разобрался, скачал и установил следующие обновления:

 

KB958644 – MS08-067

 

KB957097 – MS08-068

 

KB958687 – MS09-001"

Изменено 18 февраля, 2015 пользователем Vob

[mike 1]

"Наконец-то разобрался, скачал и установил следующие обновления:

О боже, это просили сделать еще на 2 странице!

 

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::
 
File::
c:\windows\system32\gkwcm.dll
 
Driver::
dyfaefle
 
NetSvc::
dyfaefle
 
Folder::
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\dyfaefle]
 
FileLook::
 
DirLook::
 
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[Vob]

http://rghost.ru/private/6kFtyTPFw/f3c69f30f59ae0531bffc73b4d04e742 - ComboFix.txt

[Roman_Five]

 

 

Не запускается - даже скриншот сделал:

я бы очень сильно удивился, если бы запустился.

после выполнения последних рекомендаций mike 1 удалите штатно антивирус.
затем в обычном режиме запустите утилиту. если найдёт что-то - удалите. если нет - выберите "удалить все продукты"

затем её же в безопасном. 
выберите "удалить все продукты"

Утилита удаления продуктов Лаборатории Касперского (kavremover) - http://support.kaspersky.ru/common/service

 

 

http://rghost.ru/pri...bffc73b4d04e742- ComboFix.txt

до сих пор не пускает на форум без анонимайзера? зачем файлы на внешнем ресурсе?

+

деинсталлируйте
MBAM, Emsisoft *, Lavasoft *, Trend Micro *, 

а также удалите или проверьте, что удалилось:

2015-02-18 11:25 . 2015-02-18 13:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab
2015-02-18 11:25 . 2015-02-18 11:25 -------- d-----w- c:\program files\Kaspersky Lab
2015-02-18 11:24 . 2014-12-03 04:51 116744 ----a-w- c:\windows\system32\drivers\klflt.sys
2015-02-18 11:24 . 2014-08-12 15:32 36024 ----a-w- c:\windows\system32\drivers\klhk.sys
2015-02-16 09:06 . 2015-02-16 09:06 -------- d-----w- c:\program files\Malwarebytes Anti-Malware
2015-02-09 05:26 . 2015-02-09 05:26 -------- d-----w- c:\program files\trend micro
2015-02-03 06:54 . 2015-02-03 06:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Emsisoft
2015-02-02 13:27 . 2015-02-02 13:27 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2015-02-02 13:26 . 2014-11-21 04:14 51928 ----a-w- c:\windows\system32\drivers\mwac.sys
2015-02-02 13:26 . 2014-11-21 04:14 54360 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2015-02-02 13:26 . 2014-11-21 04:14 23256 ----a-w- c:\windows\system32\drivers\mbam.sys
2015-01-26 11:10 . 2015-01-26 11:10 -------- d-----w- c:\documents and settings\Ogm2.MASHBREST\Application Data\Lavasoft
2015-01-26 11:09 . 2015-01-26 11:09 -------- d-----w- c:\program files\Lavasoft
2015-01-26 05:58 . 2015-01-26 05:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Doctor Web
2015-01-26 05:54 . 2015-01-26 06:09 -------- d-----w- c:\documents and settings\Ogm2.MASHBREST\Doctor Web


2015-02-16 11:04 . 2013-03-05 13:22 114904 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys


c:\windows\system32\drivers\AVGIDSEH.sys [13.09.2010 16:27 25680]
c:\windows\system32\drivers\cm_km_w.sys [14.01.2013 20:10 189136]
c:\windows\system32\drivers\klhk.sys [18.02.2015 13:24 36024]
c:\windows\system32\drivers\klpd.sys [12.04.2013 14:34 14432]
c:\windows\system32\drivers\kltdf.sys [21.08.2014 14:39 60552]
c:\windows\system32\drivers\kltdi.sys [05.06.2014 18:02 44992]
c:\windows\system32\drivers\kneps.sys [09.07.2014 15:23 146240]
c:\windows\system32\drivers\kldisk.sys [02.07.2014 15:10 36928]
c:\program files\Malwarebytes Anti-Malware\mbamscheduler.exe [16.02.2015 11:06 1871160]
c:\windows\system32\drivers\klflt.sys [18.02.2015 13:24 116744]
c:\windows\system32\drivers\klim5.sys [19.04.2013 10:44 36448]
c:\windows\system32\drivers\klkbdflt.sys [28.03.2014 16:51 23648]
c:\windows\system32\drivers\klmouflt.sys [08.08.2013 16:11 24672]
c:\windows\system32\drivers\mbam.sys [02.02.2015 15:26 23256]
c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 15.0.1\avp.exe [30.08.2014 16:48 234520]
c:\program files\Malwarebytes Anti-Malware\mbamservice.exe [16.02.2015 11:06 969016]

 

 

что не удаляется в обычном режиме - удалите в безопасном!

+

после всего этого - новые логи по правилам + лог GSI
обратите внимание - после всех рекомендаций. 
не выполните - ответа не будет.

[Vob]

1.Что такое GSI ?

 

2. Так что, все по новому начинать? Чистить компьютер, запускать по новому курелт, автологгер.

Изменено 19 февраля, 2015 пользователем Vob

[Roman_Five]

1) http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=55906

2) пункт 3

[Vob]

 

зачем файлы на внешнем ресурсе?

Я что-то не понимаю, а какие у меня файлы на внешнем ресурсе? Объясните, пожалуйста.

Я так понимаю, что есть внутренние и внешние ресурсы:

внутренние ресурсы - это ресурсы провайдера, твоей локальной сети, а внешние ресурсы - это веб.

Так какие у меня файлы на внешнем ресурсе? Не понимаю. Объясните.

 

 

Изменено 22 февраля, 2015 пользователем Vob

[Roman_Five]

 

 

Не понимаю. Объясните.

почему не прикрепляете логи прямо к ответу на форуме? зачем файлообменники?

[Vob]

"почему не прикрепляете логи прямо к ответу на форуме? зачем файлообменники? "

 

Я уже писал - не могу зайти на ваш форум - только через анонимайзер. При заходе на ваш форум через анониимайзер кнопка: ПРИКРЕПИТЬ ФАЙЛЫ не работает.

Изменено 23 февраля, 2015 пользователем Vob

[Roman_Five]

 

 

1) http://forum.kaspers...7611?do=findComment&comment=559062) пункт 3

долго будете игнорировать рекомендации?

не будет логов - закрою тему.
развели демагогию на 4 страницы.